Benutzer mit den meisten Antworten
Deaktivierte Benutzkonten,länger als 6Monate nicht an der Domäne angemeldet und VPN

Frage
-
Hallo,
Ich habe schon ein bisschen herumgeforstet aber noch nicht das richtige für mich gefunden :(
Folgendes Szenario:
User 1 im Ausland meldet sich ausschließlich über VPN also nie direkt an die Domäne an.
User 2 länger als 6 Monate nicht an die Domäne angemeldet
User 3 deaktivert liegt noch irgendwo als leiche herum
Ich möchte es am besten automatisert über Powershelll steuern das User 1 unangetastet und aktiv bleibt.
User 2 soll deaktivert werden und in eine OU Namens outdated verschoben werden.
User 3 soll auch nach outdated verschoben werden.
Kann ich mit Powershell ausnahmen definieren falls ja wie ? und die anderen User verschieben bzw deaktiveren und verschieben?
Ich habe auch schon was gefunden aber das ist nicht sooo das was ich will.
get-aduser -Filter * -Properties LastLogonDate | ?{$_.LastLogonDate -ne $null -and $_.LastLogonDate -lt (get-date).AddMonths(-6) -and $_.Surname -ne $null} | Move-ADObject -TargetPath "OU=OLDUSERS,dc=domain,dc=de" -Passthru | Set-AdUser -Enabled $false
Falls hier jemand Erfahrungswerte hat, wäre das für mich eine große Erleichterung.
Danke schonmal vorab.
Gruß
Mifo
Antworten
-
OK, ich hab's getestet. Folgendes scheint zu gelten:
LDAP mit Simple Authentication (Klartext-Kennwort) hinterlässt keine Aktualisierung des LastLogon. LDAP mit GSS API (also je nachdem, NTLM oder Kerberos) aktualisiert den Zeitstempel.
Evgenij Smirnov
I work @ msg services ag, Berlin -> http://www.msg-services.de
I blog (in German) @ http://it-pro-berlin.de
my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
Exchange User Group, Berlin -> http://exusg.de
Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com- Bearbeitet Evgenij Smirnov Freitag, 13. Oktober 2017 13:26
- Als Antwort markiert Mifo2705 Montag, 16. Oktober 2017 10:48
Alle Antworten
-
Moin,
1. wenn Du Code postest, bitte den Codeblock benutzen und den Code sinnvoll umbrechen.
2. Was ist denn nicht richtig an dem obigen Beispiel? Erwischt der Befehl etwa auch User1? Du könntest Dir auch Search-ADAccount anschauen, das ist eigentlich genau für solche Fälle gemacht.
Evgenij Smirnov
I work @ msg services ag, Berlin -> http://www.msg-services.de
I blog (in German) @ http://it-pro-berlin.de
my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
Exchange User Group, Berlin -> http://exusg.de
Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com -
Moin,
hast Du es mit Search-ADAccount probiert? Denn wenn das VPN die User gegen AD authentifiziert, wird dabei normalerweise auch der Zeitstempel gesetzt.
Evgenij Smirnov
I work @ msg services ag, Berlin -> http://www.msg-services.de
I blog (in German) @ http://it-pro-berlin.de
my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
Exchange User Group, Berlin -> http://exusg.de
Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com -
Hallo,
habe gerade mal ausprobiert, ob der LastLogon protokolliert wird, wenn man sich via VPN anmeldet. Ist wohl echt nicht so. Bin auch jeden DC im Standort durchgegangen. Und es wird definitiv gegen die AD authentifiziert.
Hast Du eine Sicherheitsgruppe, mit der Du die VPN-Benutzer berechtigst? Dann könntest Du diese Gruppenmitglieder in einem Script als Ausnahme setzen.
MfG, Jannik
-
Moin,
wie ist denn bei euch das VPN ans AD angebunden? Eine RADIUS-Authentifizierung oder ein LDAP-Bind setzen meiner Erfahrung nach den Zeitstempel zumindest seit 2008 recht zuverlässig.
Dabei muss man natürlich auf den Unterschied im Verhalten zwischen LastLogon und LastLogonTimestamp achten - ersteres wird nicht repliziert, zweiteres wird nur bei richtigem Mondstand aktualisiert ;-)
Evgenij Smirnov
I work @ msg services ag, Berlin -> http://www.msg-services.de
I blog (in German) @ http://it-pro-berlin.de
my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
Exchange User Group, Berlin -> http://exusg.de
Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com -
Servus :)
LDAPS. Hab gerade nochmal getestet und alle Timestamps nachgeschaut mit
Get-ADUser Username -Server Server -Properties LastLogon, LastLogonDate, LastLogonTimestamp | select @{n='LastLogon';e={[datetime]::FromFileTime($_.LastLogon)}}, LastLogonDate, @{n='LastLogonTimeStamp';e={[datetime]::Fromfiletime($_.LastLogonTimestamp)}}, SamAccountName
Sind also doch Aktualisierungen vorhanden..
LastLogon LastLogonDate LastLogonTimeStamp SamAccountName --------- ------------- ------------------ -------------- 11.10.2017 10:22:51 13.10.2017 09:57:52 13.10.2017 09:57:52 Username
Aber wieso wird der LastLogon nicht geschrieben? Das war doch normalerweise der aktuellste Wert?
MfG, Jannik
-
OK, ich hab's getestet. Folgendes scheint zu gelten:
LDAP mit Simple Authentication (Klartext-Kennwort) hinterlässt keine Aktualisierung des LastLogon. LDAP mit GSS API (also je nachdem, NTLM oder Kerberos) aktualisiert den Zeitstempel.
Evgenij Smirnov
I work @ msg services ag, Berlin -> http://www.msg-services.de
I blog (in German) @ http://it-pro-berlin.de
my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
Exchange User Group, Berlin -> http://exusg.de
Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com- Bearbeitet Evgenij Smirnov Freitag, 13. Oktober 2017 13:26
- Als Antwort markiert Mifo2705 Montag, 16. Oktober 2017 10:48