none
msDS-Last-Logon-TimeStamp

    Frage

  • Hey Leute,

    ich würde gerne folgendes rausfinden.

    Welche user länger als 90 Tage nicht mehr an usere Ad angemeldet haben.

    Da wir mehrer DC's haben sollte es DC unabhängig sein und auch OS unabhängig da wir auch Mac im einsatz haben die mit dem AD Account auf die WIndows Fileserver zugreifen.

    Habe zwar mit der "Active Directory-Benutzer und Computer" schon eine Abfrage erstellt nur da bin ich nicht wirklich flexibel.

    Das habe ich bis jetzt versucht: dsquery * "OU=ou4,OU=ou3,OU=ou2,OU=ou1,DC=meinedomäne,DC=de" -attr name msDS-Last-Logon-TimeStamp

    Leider sehe ich zwar die User aber nicht wann die sich das letzte mal gegen die Ad authentifiziert haben.

    Könnt ihr mir da helfen?

    PS. wir haben einen Server 2008 AD im Einsatz

    VG

    Mittwoch, 25. September 2013 09:37

Antworten

  • Hallo zusammen,

    ich stand da mal vor dem selben Problem, hier die Lösung mit Powershell:

    #pwd Last Set

    Import-module ActiveDirectory

    cls $90Days = (get-date).adddays(-90) Get-ADUser -SearchBase "DC=contoso,DC=com" -filter {(lastlogondate -notlike "*" -OR lastlogondate -le $90days) -AND (passwordlastset -le $90days) -AND (enabled -eq $True)} -Properties GivenName, SN, Description, lastlogondate, passwordlastset | Select-Object GivenName,SN,Description,lastlogondate, passwordlastset | Export-Csv c:\temp\pwdlastset90dayUser.csv -Delimiter ";" -Encoding "utf8" -NoTypeInformation


    Grüsse

    Florian


    Schaue auf niemanden herab, es sei denn, du willst ihm aufhelfen...




    • Als Antwort vorgeschlagen Tobias Redelberger Mittwoch, 25. September 2013 13:35
    • Bearbeitet Florian Reck Mittwoch, 25. September 2013 13:55 angepasst
    • Als Antwort markiert homermg Donnerstag, 26. September 2013 10:27
    Mittwoch, 25. September 2013 10:49
  • Hallo Martin,

    du hast Recht, das AD-Modul wurde erst mit 2008 R2 eingeführt, da es aber ein Lesezugriff ist sollte es mit Windows 7 und RSAT klappen, da ja jeder AD-User Leserechte auf das gesamte AD besitzt..

    Gruss

    Florian


    Schaue auf niemanden herab, es sei denn, du willst ihm aufhelfen...

    • Als Antwort markiert homermg Donnerstag, 26. September 2013 10:27
    Donnerstag, 26. September 2013 07:17

Alle Antworten

  • Schau mal hier:

    Finding Stale Accounts in Active Directory
    http://windowsitpro.com/scripting/finding-stale-accounts-active-directory

    Tipp: "pwdlastset" je nach Account (Computer Default 30 Tage, User Account je nach Passsword Policy) ist ein guter Ansatz

    --

    Tobias Redelberger
    StarNET Services (HomeOffice)
    Frankfurter Allee 193
    D-10365 Berlin
    Tel: +49 (30) 86 87 02 678
    Mobil: +49 (163) 84 74 421
    Mittwoch, 25. September 2013 09:57
  • Hi Tobias,

    warum sollte ich pwdlastset nutzen? und nicht msDS-Last-Logon-TimeStamp?

    spricht da was gegen?

    Mittwoch, 25. September 2013 10:04
  • “The LastLogonTimeStamp Attribute” – “What it was designed for and how it works”
    http://blogs.technet.com/b/askds/archive/2009/04/15/the-lastlogontimestamp-attribute-what-it-was-designed-for-and-how-it-works.aspx

    --

    Tobias Redelberger
    StarNET Services (HomeOffice)
    Frankfurter Allee 193
    D-10365 Berlin
    Tel: +49 (30) 86 87 02 678
    Mobil: +49 (163) 84 74 421
    Mittwoch, 25. September 2013 10:05
  • Hallo zusammen,

    ich stand da mal vor dem selben Problem, hier die Lösung mit Powershell:

    #pwd Last Set

    Import-module ActiveDirectory

    cls $90Days = (get-date).adddays(-90) Get-ADUser -SearchBase "DC=contoso,DC=com" -filter {(lastlogondate -notlike "*" -OR lastlogondate -le $90days) -AND (passwordlastset -le $90days) -AND (enabled -eq $True)} -Properties GivenName, SN, Description, lastlogondate, passwordlastset | Select-Object GivenName,SN,Description,lastlogondate, passwordlastset | Export-Csv c:\temp\pwdlastset90dayUser.csv -Delimiter ";" -Encoding "utf8" -NoTypeInformation


    Grüsse

    Florian


    Schaue auf niemanden herab, es sei denn, du willst ihm aufhelfen...




    • Als Antwort vorgeschlagen Tobias Redelberger Mittwoch, 25. September 2013 13:35
    • Bearbeitet Florian Reck Mittwoch, 25. September 2013 13:55 angepasst
    • Als Antwort markiert homermg Donnerstag, 26. September 2013 10:27
    Mittwoch, 25. September 2013 10:49
  • super Danke Leute,

    also wenn es 9-14 Tage ungenau ist, reicht es für mich aus.

    nur leider läuft es bei mir mit der Powershell:

    Die Benennung "Get-ADUser" wurde nicht als Cmdlet, Funktion, ausführbares Progr
    amm oder Skriptdatei erkannt. Überprüfen Sie die Benennung, und versuchen Sie e
    s erneut.

    EIne Idee warum?

    Mittwoch, 25. September 2013 13:18
  • Oh Boy..

    Import-module ActiveDirectory;

    Und frag danach blos nicht.... ;)

    --

    Tobias Redelberger
    StarNET Services (HomeOffice)
    Frankfurter Allee 193
    D-10365 Berlin
    Tel: +49 (30) 86 87 02 678
    Mobil: +49 (163) 84 74 421
    Mittwoch, 25. September 2013 13:34
  • Danke,

    habs angepasst, wird bei mir beim Start vom PowerGui automatisch geladen.. Ich werfe noch ein Schlagwort rein: RSAT für Windows 7...

    Grüsse

    Florian


    Schaue auf niemanden herab, es sei denn, du willst ihm aufhelfen...


    • Bearbeitet Florian Reck Mittwoch, 25. September 2013 13:57
    Mittwoch, 25. September 2013 13:57
  • sorry jungs, was die shell angeht bin ich nicht wirklich gut, setze mich gerade damit auseinander.

    leider geht es noch immer nicht die gleiche Fehlermeldung :-( wenn ich die .\test.ps1 direkt auf einem DC aufrufe

    eine Idee warum?

    Mittwoch, 25. September 2013 14:24
  • Dann mach Dich bitte erst damit vertraut bevor Du ggf. größeren Schaden denn Nutzen anrichtest..

    Denn: Es nützt Dir, Deiner Umgebung und uns nichts, wenn wir Dich stückchenweise einem Ziel näher bringen, Du jedoch nicht weißt, wie Du dort hingekommen bist - geschweige denn, wie Du von dort aus weiter kommt.

    Das Forum kann lediglich als Stichwort-Anreiz dienen und nicht als Wissensfüller bzw. Schulungsraum.

    Alles weitere findest Du u.a. hier:

    Windows PowerShell Survival Guide
    http://social.technet.microsoft.com/wiki/contents/articles/183.windows-powershell-survival-guide.aspx

    --

    Tobias Redelberger
    StarNET Services (HomeOffice)
    Frankfurter Allee 193
    D-10365 Berlin
    Tel: +49 (30) 86 87 02 678
    Mobil: +49 (163) 84 74 421
    Mittwoch, 25. September 2013 15:02
  • Tobias, er hat nen 2008 Server.. Gabs da das AD-Modul schon?

    Und @homermg:: Mach Dich schlau - Tobias hat Recht, hier ist kein Schulungsraum, hier ist ein Expertenforum. Basics MUSST DU MITBRINGEN!


    Martin

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    And if IT bothers me - coke bottle design refreshment :))

    Restore the forum design - my user defined Cascading Style Sheet!

    Mittwoch, 25. September 2013 20:40
  • Hallo Martin,

    du hast Recht, das AD-Modul wurde erst mit 2008 R2 eingeführt, da es aber ein Lesezugriff ist sollte es mit Windows 7 und RSAT klappen, da ja jeder AD-User Leserechte auf das gesamte AD besitzt..

    Gruss

    Florian


    Schaue auf niemanden herab, es sei denn, du willst ihm aufhelfen...

    • Als Antwort markiert homermg Donnerstag, 26. September 2013 10:27
    Donnerstag, 26. September 2013 07:17
  • super Danke Leute, jetzt läuft es :-)

    Naja bin auch schon dabei die Basics durchzuarbeiten 

    Donnerstag, 26. September 2013 10:27