none
старыe учетные записи в AD RRS feed

  • Вопрос

  • Добрый день!

    Имеется AD с кучей старых учетных записей пользователей и компьютеров.

    Как лучше всего отчистить AD от них?

    Удалять или блокировать?

    20 декабря 2012 г. 7:11

Ответы

  • В этом обсуждении пришли у выводу, что pwdlastset проверять не нужно, достаточно LastLogonTimeStamp.

    >>насколько старым должен быть timestamp или pwdlastset, для того чтобы учетку можно было блокировать или удалять?

    Повторяю еще раз. Однозначного ответа вам никто не даст, "старый" - это очень субъективная характеристика.

    Могу сказать лишь что 30 дней - еще не старый. 60 - спорно. Год - однозначно старый.


    MCITP:SA, MCTS:Exchange Configuring

    28 декабря 2012 г. 13:41

Все ответы

  • Лучше всего удалять в несколько этапов:

    1) Блокирование

    2) Перенос в отдельный контейнер

    3) Удаление из контейнера

    Временные промежутки между этапами определите сами.

    Эту процедуру можно автоматизировать. Желательно, чтобы всегда была возможность восстановить учетную запись в первоначальном виде (расположение, членство в группах и пр.).


    MCITP:SA, MCTS:Exchange Configuring

    20 декабря 2012 г. 7:23
  • От какого периода отталкиваться? записи старее какого срока блокировать?

    Может порекомендуете статьи на эту тему?

    Спасибо.

    20 декабря 2012 г. 7:28
  • От какого периода отталкиваться? записи старее какого срока блокировать?

    Это очень субъективно. Навскидку: блокировать через 3 месяца, удалять через полгода после последнего входа. Проблемы обычно бывают только с декретными отпусками, они могут длиться дольше.

    Нашел еще один полезный прием.

    Можно не блокировать учетную запись, а запрещать ей вход в систему посредством GPO:

    Computer Configuration | Windows Settings | Security Settings | Local Policies | Local Rights Assignment | Deny Logon Locally

    Для поиска устаревших учетных записей часто используют атрибут lastlogontimestamp:

    http://blogs.technet.com/b/askds/archive/2009/04/15/the-lastlogontimestamp-attribute-what-it-was-designed-for-and-how-it-works.aspx


    MCITP:SA, MCTS:Exchange Configuring

    20 декабря 2012 г. 8:22
  • С пользователями понятно, а как быть с компьютерами?
    20 декабря 2012 г. 8:55
  • по хорошему учетка блокируется сразу при увольнении/уходе в декрет, если конечно не было распоряжения руководства об обратном.
    а удалять не очень то обязательно, мы всегда храним, так как не раз появлялись  реапликанты. да и в случае кривой выдачи прав на ресурсы (учетке а не группе) сложно понять кто это был если учетка удалена и светится только sid

    компы можно удалять сразу, если уверен что их уже не существует
    20 декабря 2012 г. 9:20
    Модератор
  • Так в том то и дело что уверенности нет, по какому критерию оценить что учетка компа уже устарела и ее можно удалять?
    20 декабря 2012 г. 9:32
  • Так в том то и дело что уверенности нет, по какому критерию оценить что учетка компа уже устарела и ее можно удалять?

    Lastlogontimestamp есть и у компьютеров. Есть только одна засада: если у сервера аптайм 2 года, то в систему он входил последний раз 2 года назад. Для юзерских компов такой ситуации не бывает.

    UPD. Выяснилось, что LastLogonTimeStamp меняется при network logon и interactive logon. То есть дополнительные проверки не нужны.


    MCITP:SA, MCTS:Exchange Configuring

    • Изменено Dmitry Zobnin 28 декабря 2012 г. 13:32
    20 декабря 2012 г. 10:46
  • кхм... так насколько старым должен быть timestamp чтобы компьютер можно было удалять?:)
    20 декабря 2012 г. 10:49
  • это вам решать ) Киньте монетку.

    MCITP:SA, MCTS:Exchange Configuring

    20 декабря 2012 г. 10:50
  • Есть только одна засада: если у сервера аптайм 2 года, то в систему он входил последний раз 2 года назад. Для юзерских компов такой ситуации не бывает.
    LastPwdChange...
    20 декабря 2012 г. 11:18
    Отвечающий
  • Есть только одна засада: если у сервера аптайм 2 года, то в систему он входил последний раз 2 года назад. Для юзерских компов такой ситуации не бывает.

    LastPwdChange...

    Согласен, надо будет себе в скрипт добавить проверку.

    MCITP:SA, MCTS:Exchange Configuring

    20 декабря 2012 г. 11:40
  • Согласен, надо будет себе в скрипт добавить проверку.
    Поправлюсь: LastPwdSet
    И усложню :) проверяйте не установлен ли нигде параметр в реестре... встречал на практике - причину появления так и не выяснили, но точно не руками делали

    снова косяк - pwdlastset :) спасибо Дмитрию за поправку
    20 декабря 2012 г. 11:42
    Отвечающий
  • Так в том то и дело что уверенности нет, по какому критерию оценить что учетка компа уже устарела и ее можно удалять?

    а что у вас учет техники не ведется и никто не знает существует комп физически или нет?
    20 декабря 2012 г. 12:00
    Модератор
  • Поправлюсь: LastPwdSet
    pwdlastset 

    MCITP:SA, MCTS:Exchange Configuring

    20 декабря 2012 г. 12:30
  • Probvs,вопрос актуален?

    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий

    25 декабря 2012 г. 5:07
    Модератор
  • это вам решать ) Киньте монетку.

    MCITP:SA, MCTS:Exchange Configuring

    Так есть какие-либо общие практики в данном случае?
    28 декабря 2012 г. 8:43
  • Актуален, я так и не увидел насколько старым должен быть timestamp или pwdlastset, для того чтобы учетку можно было блокировать или удалять?
    28 декабря 2012 г. 9:29
  • вообще, по хорошему, никто не смотрит на эти параметры, а делается все согласно регламенту принятому в компании.
    например, при увольнении сотрудника, или длительный отпуск (декрет), его учетка отключается, удаляется из всех групп, снимается менеджер чтобы в orgchart не светился, удаляются ящики exchange, учетки в lync, профили, личные сетевые папки и т.д. (опционально, или передаются кому-то по распоряжению руководства) и перемещается в какую нибудь оушку чтобы глаза не мозолила.
    компы просто удаляются если заведомо известно что его уже не существует.

    28 декабря 2012 г. 12:12
    Модератор
  • В этом обсуждении пришли у выводу, что pwdlastset проверять не нужно, достаточно LastLogonTimeStamp.

    >>насколько старым должен быть timestamp или pwdlastset, для того чтобы учетку можно было блокировать или удалять?

    Повторяю еще раз. Однозначного ответа вам никто не даст, "старый" - это очень субъективная характеристика.

    Могу сказать лишь что 30 дней - еще не старый. 60 - спорно. Год - однозначно старый.


    MCITP:SA, MCTS:Exchange Configuring

    28 декабря 2012 г. 13:41