Sans solution de provisionning et de workflow performant, le nombre de comptes utilisateurs inactifs dans l'Active Directory va vite devenir important.
Développement script ADSI
Sécurité ADSI : Liste Objets AD : Users, Groups, Computers, Utilisateurs, groupes, ordinateurs
Il s'agit d'utilisateurs qui ont quitté la société, de comptes utilisateurs qui ne sont plus utilisés ou de machines qui ont été recyclées mais dont les objets existent toujours dans l'AD.
disable accounts désactivation de comptes
Nettoyage comptes inactifs
Pour déterminer si un compte est toujours utilisé ou non, il existe deux moyens simples qui peuvent d'ailleurs être complémentaires et recupés ensembles.
Il s'agit par exemple de s'appuyer sur l'attribut LastLogonTimeStamp (à partir de Windows 2003) qui stocke la date de dernier logon du compte. Cet attribut est répliqué sur tous les dc du domaine.
La seconde données intéressante est la date de dernier changement de mot de passe. Une machine change son mot de passe tous les 30 jours. Si un ordinateur n'a pas changé son mot de passe depuis par exemple 60 ou 90 jours, il y a de fortes chances que cette machine n'existe plus sur le domaine.
Voici un ensemble de scriptsqui permet de générer la liste des utilisateurs et ordinateurs inactifs (stale accounts dans le jargon anglosaxon) et de réaliser le nettoyage (le script recensé désactive le compte et le déplace dans une OU de quarantaine. La date d'action et le chemin source de l'objets sont stockés dans des attributs inutilisés pour un éventuel retour arrière).
Développement script ADSI
Stale Accounts
Développement script ADSI
Comptes inactifs, Comptes désactivés
Développement script ADSI nettoyage AD
LastLogonTimeStamp, Last Password Change