Коли кількість користувачів в домені перевищує кілька сотень, запам'ятати кожного стає непросто. А якщо доменна структура розвинена і її адмін кілька людей, розібратися ще складніше. Додамо до цього звільнення, підвищення, переклади туди-сюди і хитрунів, які користуються учеткой, залишеної кимось на час відпустки, і плутанина досягне критичної позначки, за якої говорити про безпеку годі й говорити. Як побороти анархію?
Щоб вчасно відключати невикористовувані облікові записи, потрібно знати, коли хтось під ними заходив. Найчастіше якщо під учеткой ніхто не працював протягом пари місяців, значить, людина вже звільнився або перевівся. Оскільки всі дані про спроби входу зберігаються у властивостях користувача Active Directory, відшукати мертві душі буде нескладно.
Насамперед потрібно включити відображення додаткових властивостей, це робиться через меню View -> Advanced Features. Цікавлять нас дані зберігаються в атрибутах lastLogon і lastLogonTimestamp, а про невдалі спроби входу ти дізнаєшся з полів badPasswordTime і badPwdCount.
Ці атрибути успішно реплицируются, і їм можна вірити камері не вдається відстежити Логон, потрібно тільки їх включити. Для цього створи новий об'єкт групової політики і прив'яжи його до Domain Controllers. Після цього в гілці Computer ConfigurationAdministrative TemplatesSystemKDC включай політику Provide information about previous logons to client computers. Тепер контролери будуть збирати необхідні дані.
Щоб повністю автоматизувати чистку, можеш написати невеликий скрипт, який буде перевіряти значення і, наприклад, слати тобі повідомлення про те, що учетка минула.
Покажи цю статтю друзям: