Boas Práticas para limpeza de contas inativas do AD

Início » Blog » Boas Práticas para limpeza de contas inativas do AD

Nenhum comentário
Wellington Agápto
outubro 20, 2021

Salve galera! Wellington Agápto por aqui. Hoje eu trouxe o artigo: Boas Práticas para limpeza de contas inativas do AD. Espero que seja útil, um grande abraço e até a próxima.

Boas Práticas para limpeza de contas inativas do AD

Contas de usuário inativas podem levar a grandes riscos de segurança. O Center for Internet Security afirma que “é mais fácil para um agente de ameaça obter acesso não autorizado por meio de credenciais de usuário válidas do que por meio de hacking em contas”.

Segue práticas recomendadas para limpar usuários inativos ou contas de computador.

Nunca remova imediatamente contas identificadas como inativas. Desativei-os primeiro por pelo menos 30 ou 60 dias.
Procure contas com um lastLogonTimestamp de 45 dias ou mais, o que significa que a conta do AD não mostra nenhuma atividade de logon por 45 dias ou mais.
Desabilite as contas por pelo menos 30 dias, eu costumo ir com 60. Com acesso remoto, VPNs, laptops às vezes o AD não é atualizado. Ao desabilitar uma conta primeiro, é muito fácil reabilitá-la e dar ao usuário seu acesso de volta.
Adicione uma descrição à conta com a data desativada. Isso é muito útil para outros administradores, caso alguém pergunte por que uma conta foi desativada.
Uma conta inativa local pode não significar uma conta do Office 365 inativa. Isso seria para ambientes híbridos que sincronizam com o Office 365. A desativação da conta versus a exclusão imediata é crítica para esses tipos de ambientes. Você pode ter usuários trabalhando em casa que nunca se autenticam no ambiente AD local, mas se conectam ao Office 365 diariamente.
Execute o processo de limpeza todos os meses.

Como listar contas de usuários inativas com PowerShell

Para encontrar contas inativas com o PowerShell, você precisará das ferramentas RSAT instaladas ou executar esses comandos no controlador de domínio.

Contas inativas nos últimos 60 dias

$When = ((Get-Date).AddDays(-60)).Date Get-ADUser -Filter {LastLogonDate -lt $When} -Properties * | select-object samaccountname,givenname,surname,LastLogonDate

Contas inativas nos últimos 30 dias

$When = ((Get-Date).AddDays(-30)).Date Get-ADUser -Filter {LastLogonDate -lt $When} -Properties * | select-object samaccountname,givenname,surname,LastLogonDate

Exportar os resultados para CSV

$When = ((Get-Date).AddDays(-30)).Date
Get-ADUser -Filter {LastLogonDate -lt $When} -Properties * | select-object samaccountname,givenname,surname,LastLogonDate | export-csv -path c:\ps|inactiveusers.csv

Para limitar o escopo a uma unidade organizacional

$When = ((Get-Date).AddDays(-30)).Date
Get-ADUser -Filter {LastLogonDate -lt $When} -SearchBase "OU=Accounting,OU=ADPRO Users,DC=ad,DC=activedirectorypro,DC=com" -Properties * | select-object samaccountname,givenname,surname,LastLogonDate

Encontre usuários inativos e desabilite as contas

$When = ((Get-Date).AddDays(-30)).Date
Get-ADUser -Filter {LastLogonDate -lt $When} -Properties * | select-object samaccountname,givenname,surname,LastLogonDate | Disable-ADAccount

Já conhece o nosso Acesso Black?

Tenha acesso a todos os cursos da nossa plataforma por um valor ultra especial.
Saiba mais sobre o ACESSO BLACK clicando AQUI.

Já conhece o nosso Podcast?

Gostaram do artigo Boas Práticas para limpeza de contas inativas do AD? Então conheça também o nosso Podcast – Formata meu PC?

Wellington Agápto

Fui premiado como Microsoft MVP por três anos consecutivos e atualmente atuo como Head de Security, apoiando clientes com soluções de arquiteturas e segurança em nuvem.