前回ADユーザーがログインしましたか？

Active Directoryには、会社の実際の従業員よりも多くのユーザーがいることに気付きました。

複数のActive Directoryアカウントを確認し、しばらく使用されていないアカウントがあるかどうかを確認する簡単な方法はありますか？これにより、一部のアカウントを無効にするか削除するかを判断できます。

O'ReileyのActive Directory Cookbookでは、第6章で説明しています。

6.28.1問題：最近ログオンしていないユーザーを判別したい。

6.28.2ソリューション

6.28.2.1グラフィカルユーザーインターフェースの使用

1. Active Directoryユーザーとコンピュータースナップインを開きます。
2. 左側のペインで、ドメインを右クリックして[検索]を選択します。
3. [検索]の横にある[共通クエリ]を選択します。
4. [最後のログオンからの日数]の横にある日数を選択します。
5. [検索開始]ボタンをクリックします。

6.28.2.2コマンドラインインターフェイスの使用

dsquery user -inactive <NumWeeks>

詳細については、レシピ6.28を参照してください

このスクリプトは、http：//synjunkie.blogspot.com/2008/08/powershell-finding-unused-ad-accounts.htmlから作成されました。このURLは2015年12月7日に機能しなくなりました。この情報をCSVファイルに出力して、Excelで表示/フィルタリングできます。

get-qaduser * -sizelimit 0 | select -property name,accountexpires,pass*,accountisdisabled,lastlog*,canonicalname | export-csv -path d:\Passwords.csv

各ドメインコントローラーに保存されている最終ログオン時刻はドメインコントローラー間でレプリケートされないことに注意してください。実際には、最後のログオン時刻を保存する2つの属性があります。正確な時間が重要な場合は、各ドメインコントローラーを照会するサードパートツールを使用します（90個あります！）。True Last Logonというツールを使用しましたが、お勧めできます。

私はこのためにSomarsoftのフリーウェアツールであるDumpSecを使用 します：DumpSec Usefull to stale computer accounts :)

このプロセスを実行するときに、実行する手順と無効化/削除するアカウントの両方を記録します。ある時点で、監査人が古いアカウントを削除する方法を尋ねるので、ドキュメントが必要になります。

非常に迅速で汚い方法/提案：

疑わしい各アカウントのパスワードの有効期限を設定し、次回ログイン時にリセットを要求します。各アカウントの説明フィールドにアスタリスクを配置します。1週間ほど待ってから、フラグが設定されたアカウントを再確認して、まだパスワードのリセットが必要なアカウントを確認してください。違反者を無効にし、ヘルプデスクの呼び出しを待って、休暇中の者を再度有効にします。

別のもの：

または、疑わしいユーザーのリストを人事/人事部門に送信して、実際に雇用されていることを確認できるユーザーがいるかどうかを確認することもできます。

もう一つ：

最後に、「Active Directoryユーザーとコンピューター」を開き、ADクエリツールを展開すると、探しているものの詳細を示すクエリを作成できると思います。