El administrador del Directorio Activo debe desactivar e inactivar periódicamente los objetos en AD. En este artículo, mostraremos cómo obtener el último tiempo de inicio de sesión para el usuario del dominio AD y encontrar las cuentas que han estado inactivas durante más de 90 días.
¿Cómo obtener el último usuario conectado usando ADUC?
Puede averiguar la última hora de inicio de sesión del usuario del dominio con la consola gráfica ADUC (Active Directory Users and Computers).
- Ejecute la consola dsa.msc;
-
En el menú superior, habilite la opción Ver> Características Avanzadas;
- En el árbol de la AD, seleccione el usuario y abra sus propiedades;
- Haga clic en la pestaña Editor de Atributos;
- En la lista de atributos, encuentra el último Logon. Este atributo contiene la hora en que el usuario entró por última vez en el dominio.
Encontrar la última hora de inicio de sesión usando CMD
Puedes saber la hora en que el usuario entró por última vez en el dominio desde la línea de comandos usando las herramientas de red o dsquery.
Abre un símbolo del sistema (no necesitas privilegios de administrador de dominio para obtener la información de usuario de AD) y ejecuta el comando:
administrador de usuarios de red /dominio| findstr "Last"
El último usuario que se registró fue el 08.08.2019 11:14:13.
También puedes obtener la última hora de acceso usando dsquery. Por ejemplo:
dsquery * domainroot -filter "(&(objectCategory=Person)(objectClass=User)(sAMAccountName=administrator))" -attr distinguishedName lastLogon lastLogonTimestamp -limit 0
El principal problema es que los atributos lastLogon y lastLogonTimestamp en AD se almacenan en formato de marca de tiempo y es necesario convertirlo adicionalmente a un formato de tiempo normal.
LEER TAMBIÉN Instalar Usuarios de Directorio Activo y Computadoras MMC Snap-in en Windows 10
También puede utilizar este comando para encontrar a todos los usuarios que están inactivos, por ejemplo, durante 10 semanas:
demanda al usuario domainroot -inactivo 10
Encuentra la última hora de inicio de sesión usando PowerShell
También puedes usar PowerShell para obtener el último tiempo de acceso al dominio del usuario. Para esto, necesita usar
Módulo de directorio activo para Windows PowerShell . Instale este módulo e impórtelo en su sesión de PowerShell:
Módulo de importación ActiveDirectory
Para encontrar la última hora de inicio de sesión de la cuenta de administrador del dominio, ejecute el comando:
Get-ADUser -Administrador de identidades -Propiedades LastLogon
El cmdlet devolvió la hora en formato Timestamp. Para convertirla a la hora normal usa el siguiente comando:
Get-ADUser -Filtro {Nombre -eq "administrador"} -Propiedades * | Nombre del objeto seleccionado, @{N=$0027LastLogon$0027; E={[DateTime]::FromFileTime($_.LastLogon)}}
Usando PowerShell, puedes mostrar el tiempo de Lastlogon para todos los usuarios del dominio habilitados:
Get-ADUser -filter {enabled -eq $true} -Propiedades * | Select-Object Name, @{N=$0027LastLogon$0027; E={[DateTime]::FromFileTime($_.LastLogon)}}|Sort-Object LastLogon -Descending
O puede encontrar usuarios que están inactivos por más de 90 días:
$date1= (Get-Date).AddDays(-90)
Get-ADUser -Propiedades LastLogonDate -Filtro {LastLogonDate -lt $date1} | ft