Чтобы вовремя отключать неиспользуемые учетные записи, нужно знать, когда кто-то под ними заходил. Чаще всего если под учеткой никто не работал в течение пары месяцев, значит, человек уже уволился или перевелся. Поскольку все данные о попытках входа хранятся в свойствах пользователя Active Directory, отыскать мертвые души будет несложно.
Первым делом нужно включить отображение дополнительных свойств, это делается через меню View -> Advanced Features. Интересующие нас данные хранятся в атрибутах lastLogon и lastLogonTimestamp, а о неудачных попытках входа ты узнаешь из полей badPasswordTime и badPwdCount.
Если у тебя стоит один контроллер домена, эти данные тебя полностью устроят, но если нет, то возникнут проблемы. Значения lastLogon, badPasswordTime и badPwdCount не реплицируются между контроллерами, а отследить, на какой из них авторизовался пользователь, — та еще задачка.
Начиная с Windows Server 2008 в AD как раз для этих целей появились дополнительные атрибуты, которые решают проблему. Вот они:
- msDS-FailedInteractiveLogonCount — общее количество ошибочных попыток логона в систему;
- msDS-FailedInteractiveLogonCountAtLastSuccessfulLogon — количество фейловых попыток логона с момента последней успешной авторизации;
- msDS-LastFailedInteractiveLogonTime — время последней неудачной попытки;
- msDS-LastSuccessfulInteractiveLogonTime — время последней удачной попытки.
Эти атрибуты успешно реплицируются, и им можно верить при отслеживании логона, нужно только их включить. Для этого создай новый объект групповой политики и привяжи его к Domain Controllers. После этого в ветке Computer ConfigurationAdministrative TemplatesSystemKDC включай политику Provide information about previous logons to client computers. Теперь контроллеры будут собирать необходимые данные.
Чтобы полностью автоматизировать чистку, можешь написать небольшой скрипт, который будет проверять значения и, к примеру, слать тебе уведомление о том, что учетка истекла.
