lordofremixes
Goto Top

Accounts nach 6 Monaten löschen

Hallo Freunde der Sonne,

tatsächlich bin ich jetzt kein ITler mehr, sondern so ein IT Datenschutztyp ITler.
Muss leider die Kunden immer darauf hinweisen, dass der Account nicht nur deaktiviert werden muss, sondern auch nach 6 Monaten nach der Deaktivierung tatsächlich auch gelöscht werden muss. Daher meine Frage, wenn die das nicht selbst machen, wie bekomme ich es hin, alle Accounts die 6 Monate nach dem Deaktivierungsdatum, auch gelöscht werden und nicht nur deaktiviert? Spaß beiseite. Die Frage ist : ich will in einer Unter OU alle Accounts löschen, die nach 6 Monaten deaktivert wurden und die löschen..
Bin für jeden Hinweis dankbar.

LG
lordofremixes

Content-ID: 666814

Url: https://administrator.de/forum/accounts-nach-6-monaten-loeschen-666814.html

Ausgedruckt am: 23.12.2024 um 02:12 Uhr

chkdsk
chkdsk 18.05.2021 aktualisiert um 07:23:21 Uhr
Goto Top
Moin,

mit Powershell ganz einfach. Das Skript kannst du auch per Task Scheduler jeden Tag laufen lassen.
Import-Module ActiveDirectory

$Months = (get-date).AddMonths(-6)
$users = Get-ADUser -properties * -filter {((modifyTimeStamp -le $Months) -AND (enabled -eq $False))} -SearchBase "DEINE OU"| where CanonicalName -Like "NamedAccounts" | select-object SAMaccountname  
 foreach ($user in $users)
 {
     write-host Deleting account $user.SAMaccountname
     Remove-ADUser -Identity $user.SAMaccountname
 }

Grüße
Inf1d3l
Inf1d3l 18.05.2021 um 07:54:01 Uhr
Goto Top
Da fehlen noch:
- Exchange Postfach
- Benutzerprofil
- Benutzer-Homeverzeichnis

face-smile
joehuaba
joehuaba 18.05.2021 um 08:29:06 Uhr
Goto Top
Guten Morgen face-smile

Es gibt auch noch die Möglichkeit die alten Benutzerprofile auf den Computern löschen zu lassen.
Vielleicht ist das eine nette Option "on top" ?!
https://www.itnator.net/alte-benutzerprofile-loschen-mit-gpo/

Gruß joehuaba
chkdsk
chkdsk 18.05.2021 um 08:42:21 Uhr
Goto Top
Bin ich jetzt mit Absicht nicht drauf eingegangen, weil davon ja nicht die rede war face-smile
Doskias
Doskias 18.05.2021 um 09:40:10 Uhr
Goto Top
Zitat von @chkdsk:

Moin,

mit Powershell ganz einfach. Das Skript kannst du auch per Task Scheduler jeden Tag laufen lassen.
> Import-Module ActiveDirectory
> 
> $Months = (get-date).AddMonths(-6)
> $users = Get-ADUser -properties * -filter {((modifyTimeStamp -le $Months) -AND (enabled -eq $False))} -SearchBase "DEINE OU"| where CanonicalName -Like "NamedAccounts" | select-object SAMaccountname  
>  foreach ($user in $users)
>  {
>      write-host Deleting account $user.SAMaccountname
>      Remove-ADUser -Identity $user.SAMaccountname
>  }
> 

Grüße

Der ModifyTimeStamp ist aber auch riskant. Theoretisch kannst du AD-Accounts auch noch bearbeiten, nachdem er deaktiviert wurde. Alleine das verschieben in eine andere OU zählt als Modify. Ich habe für deaktivierte User eine eigene OU, die ich regelmäßig prüfe. Per Skript würde ich in dem Zusammenhang nicht den ModifyTimeStamp sondern das LastLogonDate der User abfragen. Ja es gäbe manchmal einige Wochen Differenz zwischen LastLogonDate und dem tatsächlichen Ausscheiden, allerdings führt das eher zu einer früheren Löschung.

Gruß
Doskias
DerWoWusste
DerWoWusste 18.05.2021 um 10:20:01 Uhr
Goto Top
Darf ich nebenbei fragen, wo genau das gesetzlich geregelt ist, damit ich es selbst dokumentieren kann?
Danke
lordofremixes
lordofremixes 09.12.2021 um 19:40:43 Uhr
Goto Top
Hi,

Ist nichts gesetzliches, Vorgabe vom Konzern.

LG