69011
Feb 16, 2010, updated at 06:38:50 (UTC)
18279
8
0
Wie sehe ich wann und wo sich ADS User angemeldet haben?
Hallo zusammen,
wir würden hier gerne unsere ADS etwas "aufräumen" und nicht mehr benötigete Konten inkl Exchangepostfach löschen.
Bevor ich die Ereignissanzeige meine AD Controller durchforste, gibt es eine Möglichkeit eine Abfrage zu starten an welchem Host und wann sich die Accounts das letzte mal angemeldet haben?
Weil dann könnte ich hergehen und kategorisch alle User kicken, die sich seit zwei Monaten nicht mehr angemeldet haben.
Für einen Hinweis wäre ich allen sehr dankbar.
wir würden hier gerne unsere ADS etwas "aufräumen" und nicht mehr benötigete Konten inkl Exchangepostfach löschen.
Bevor ich die Ereignissanzeige meine AD Controller durchforste, gibt es eine Möglichkeit eine Abfrage zu starten an welchem Host und wann sich die Accounts das letzte mal angemeldet haben?
Weil dann könnte ich hergehen und kategorisch alle User kicken, die sich seit zwei Monaten nicht mehr angemeldet haben.
Für einen Hinweis wäre ich allen sehr dankbar.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 136025
Url: https://administrator.de/contentid/136025
Printed on: April 23, 2024 at 16:04 o'clock
8 Comments
Latest comment
Moin,
die Googleanfrage AD lastlogon brachte auf Platz 4
http://forums.techarena.in/active-directory/65300.htm
Open AD Users and Computers MMC snap-in from the 2003 Adminpak.msi install.
Right click Save Queries and choose new query
Give it a name and click on Define Query
The Find Common Queries dialog box comes up
Under the Users tab for the Name select "has a value"
Below that for the Days Since Last Lgon field select "30"
drüber steht ein kommerzielles Toolset, drunter auch einige Scripte
Weiter hilft Dir http://www.gidf.de
Kommentarlos würde ich die User nicht wegkrachen, Urlaub, Krankheit, Mutterschutz, Wehrdienst, Außendienst etc.
deaktivieren dürfte reichen - verschieben in ne extra OU - gut iss
Gruß
24
die Googleanfrage AD lastlogon brachte auf Platz 4
http://forums.techarena.in/active-directory/65300.htm
Open AD Users and Computers MMC snap-in from the 2003 Adminpak.msi install.
Right click Save Queries and choose new query
Give it a name and click on Define Query
The Find Common Queries dialog box comes up
Under the Users tab for the Name select "has a value"
Below that for the Days Since Last Lgon field select "30"
drüber steht ein kommerzielles Toolset, drunter auch einige Scripte
Weiter hilft Dir http://www.gidf.de
Kommentarlos würde ich die User nicht wegkrachen, Urlaub, Krankheit, Mutterschutz, Wehrdienst, Außendienst etc.
deaktivieren dürfte reichen - verschieben in ne extra OU - gut iss
Gruß
24
Das geht über dsquery und dsmod von der Konsole wesentlich schneller.
Dieser Befehl deaktiviert alle Benutzer, die sich seit 40 Wochen nicht mehr Angemeldet haben.
dsquery user -inactive 40 | dsmod user -disabled yesDieser Befehl deaktiviert alle Benutzer, die sich seit 40 Wochen nicht mehr Angemeldet haben.
Servus,
du könntest das Attribut Last-Logon abfragen, in dem das letzte Anmeldedatum eingetragen ist.
Der Nachteil an diesem Attribut ist, dass es nicht repliziert wird und somit die Abfrage auf jedem DC durchgeführt werden muss um das aktuellste Datum zu erhalten.
Ab dem Domänenfunktionsmodus "Windows Server 2003" kannst du das "LastLogonTimeStamp" Attribut abfragen.
Dieses Attribut wird zwischen den DCs "verzögert" repliziert. Was es mit dem Attribut Last-LogonTime-Stamp genau auf sich hat,
erfährst du in diesem Artikel:
[LDAP://Yusufs.Directory.Blog/ - Die letzte Benutzeranmeldung herausfinden]
http://blog.dikmenoglu.de/Die+Letzte+Benutzeranmeldung+Herausfinden.asp ...
Aber egal welches Attribut du verwendest, an welchem Client sich der Benutzer angemeldet hast steht dort natürlich nicht drin.
Viele Grüße
/ > Yusuf Dikmenoglu
du könntest das Attribut Last-Logon abfragen, in dem das letzte Anmeldedatum eingetragen ist.
Der Nachteil an diesem Attribut ist, dass es nicht repliziert wird und somit die Abfrage auf jedem DC durchgeführt werden muss um das aktuellste Datum zu erhalten.
Ab dem Domänenfunktionsmodus "Windows Server 2003" kannst du das "LastLogonTimeStamp" Attribut abfragen.
Dieses Attribut wird zwischen den DCs "verzögert" repliziert. Was es mit dem Attribut Last-LogonTime-Stamp genau auf sich hat,
erfährst du in diesem Artikel:
[LDAP://Yusufs.Directory.Blog/ - Die letzte Benutzeranmeldung herausfinden]
http://blog.dikmenoglu.de/Die+Letzte+Benutzeranmeldung+Herausfinden.asp ...
Aber egal welches Attribut du verwendest, an welchem Client sich der Benutzer angemeldet hast steht dort natürlich nicht drin.
Viele Grüße
/ > Yusuf Dikmenoglu
danke für die zahlreichen antworten,
aber es gibt definitv keine möglichkeit rauszufinden an welchem Host sich der Account das letzte mal angemeldet hat?
aber es gibt definitv keine möglichkeit rauszufinden an welchem Host sich der Account das letzte mal angemeldet hat?
Zitat von @69011:
danke für die zahlreichen antworten,
aber es gibt definitv keine möglichkeit rauszufinden an welchem Host sich der Account das letzte mal angemeldet hat?
danke für die zahlreichen antworten,
aber es gibt definitv keine möglichkeit rauszufinden an welchem Host sich der Account das letzte mal angemeldet hat?
Nein
Du meldest Dich an keinem Host an, sondern am AD - deswegen mußt Du ja alle DCs abfragen
24
Brauchst du doch nicht wirklich. Wenn du etwas "Aufräumen" möchtest, kannst du alle Benutzer die sich seit XX Wochen nicht mehr angemeldet haben deaktivieren. Ich bin mir allerdings nicht sicher, ob Exchange das Objektattribut (siehe Yusuf´s Beitrag) bei Anmeldungen über POP3/IMAP ändert. Das würde dann auch Benutzer deaktivieren, die sich noch nie direkt am AD angemeldet haben, aber dennoch Postfächer nutzen. Hast du solche Benutzer im AD?
ja war mir irgendwie klar, hab aber gehofft dass es doch geht....
ja gut, dann vielen dank allen miteinadner!
ja gut, dann vielen dank allen miteinadner!
Naja, ich ziehe mir diese Daten aus den Logfiles der Server. Ist aber nur Sinnvoll wenn du über ein zentrales System zum Erfassen und Auswerten der Logs verfügst. jeden Server einzeln überprüfen macht keinen Spaß.
