Active Directory / Powershell - Alternative zu last logon date?

[charmin]

Hallo zusammen,

ich versuche aktuell ein bisschen aufzuräumen und habe dazu für User- und Computer-Objekte Powershell Skripte gebaut. Anscheinend ist das Attribut last logon date aber nicht zuverlässig wenn es sich beispielsweise um Servicebenutzer handelt die zwar dauerhaft verwendet werden, aber eben nur für Dienste (gilt teilweise auch für Server).

Ist euch eine zuverlässigere Alternative vorhanden? Ansonsten muss ich initial die betroffenen OUs manuell vorsortieren und kann erst danach mit Skripten aufräumen.

Vielen Dank vorab!

 

[ryan_blackdrago]

Dein Anliegen zusammengefasst

 

[charmin]

@ryan_blackdrago prinzipiell richtig, aber leider nur mit Fokus auf User. Mit geht es aber auch um Computerobjekte. Auf jeden Fall danke für den Link, das Tool LUMAX werde ich mal anschauen (aus den Kommentaren).

Das im Artikel verlinkte Skript nutzt auch wieder LastLogonDate.

 

[ryan_blackdrago]

Hatte gehofft, die Tools hätten mehr Möglichkeiten, als LastLogonDate

Zu den Computerobjekten : angenommen es handelt sich um einen Offline-Rechner / Insel-Lösung / Rechner, welcher alle ewige Zeit mal wieder ans Netz kommt.
Das würde das AD irgendwie verfälschen. Da müsste eher eine Inventarisierung laufen, mit LDAP-Anbindung.

 

[snaxilian]

@ryan_blackdrago Nach afaik 30 Tagen ohne Kontakt verliert ein PC den Trust zum AD. Entweder ist es ein offline und damit manuell zu verwaltendes Gerät oder muss eben regelmäßig an sein für Updates, Trust-Erneuerung etc.
Wenn man netzwerkmäßig den PC erreichbar machen will für eine Inventarisierungslösung dann kann man den PC auch erreichbar machen für das AD...

@charmin Das ist eher ein organisatorisches Problem... Service/Dienste User bekommen weder das Recht sich irgendwo anzumelden noch sollte mehrfache Verwendung untersagt werden.
Vielleicht hilft dir dieser Artikel noch etwas die Unterschiede der Logon Typen zu unterscheiden: https://social.technet.microsoft.co...gon-lastlogontimestamp-and-lastlogondate.aspx
LastLogonTimeStamp ist dann eher der Parameter, der spannend wird. LastLogonDate wird nur auf dem DomainController aktualisiert bei dem sich der Client gemeldet hat. Für eine korrekte Auswertung müsstest du also alle DCs abfragen und dann pro Account immer den aktuellsten Wert nutzen.

 

[ryan_blackdrago]

@snaxilian
Es sollte eher als Hinweis dienen, Computerelemente nicht stur anhand vom AD last logon rauszuwerfen, da es Offline-Kandidaten gibt. Daher der Vorschlag mit der Inventarisierung.
Wenn ein Rechner entsorgt wird, dann wird das Element via Inventarisierungssoftware aus dem AD entfernt. Das war die Idee dahinter.