Cum să prind suflete moarte într-un director activ

Când numărul de utilizatori din domeniu depășește câteva sute, amintirea tuturor devine dificilă. Și dacă structura domeniului este dezvoltată și administrația sa este mai multe persoane, este și mai greu de înțeles. Adăugați la aceste disponibilizări, promoții, traduceri spate și înșelător și oameni vicioși care folosesc evidența lăsată de cineva în vacanță, iar confuzia va ajunge la un punct critic, dincolo de care nu se vorbește despre securitate. Cum să depășim anarhia?

Pentru a deconecta conturile neutilizate la timp, trebuie să știți când cineva a venit sub ele. Cel mai adesea, dacă în cont, nimeni nu a lucrat timp de câteva luni, atunci persoana a deja demisionat sau transferat. Deoarece toate datele despre încercările de conectare sunt stocate în proprietățile utilizatorului Active Directory, nu va fi dificil să găsiți suflete moarte.

Primul pas este de a permite afișarea proprietăților suplimentare, acest lucru fiind realizat prin meniul Vizualizare -> Caracteristici avansate. Datele de care suntem interesați sunt stocate în atributele lastLogon și lastLogonTimestamp și veți afla despre încercările de conectare eșuate din câmpurile badPasswordTime și badPwdCount.

Aceste atribute sunt replicate cu succes și puteți avea încredere în acestea atunci când urmăriți logo-ul, trebuie doar să le activați. Pentru a face acest lucru, creați un nou GPO și legați-l la controlorii de domeniu. Apoi, în ramura Computer ConfigurationAdministrative TemplatesSystemKDC, activați opțiunea Informații despre jurnalele anterioare la politica computerelor client. Acum, controlorii vor colecta datele necesare.

Pentru a automatiza complet curățarea, puteți scrie un mic script care va verifica valorile și, de exemplu, vă va trimite o notificare că contul a expirat.

Distribuiți acest articol cu ​​prietenii dvs.:

Articole similare