5 авг. 2013 г.

Active Directory inactive users

Понадобилось актуализировать список сервисных пользователей в AD (Windows 2008) на предмет удаления не используемых более учетных записей. Конечно, тут же возник вопрос - а какие из них на самом деле никем и ничем не используются, ведь удаление активной учетной записи приведет к отказу в обслуживании того сервиса, который "привык" запускаться от того или иного имени.
Для разрешения этой проблемы существует специальный LDAP-атрибут: LastLogonTimeStamp, который показывает последний вход в домен пользователя, причем под входом имеется в виду не только интерактивный, но также сетевой и сервисный входы. Подробное описание этого атрибута можно посмотреть по ссылке выше. Единственное, о чем хотелось бы упомянуть - атрибут обновляется примерно с двухнедельной задержкой. Таким образом, если последний таймстамп заданной учетки далек от дня сегодняшнего на несколько недель - можно смело говорить о неактивности аккаунта уже длительное время.