lordofremixes
18.05.2021, aktualisiert um 03:41:39 Uhr
view4320
view7
1
Goto Top

Accounts nach 6 Monaten löschen

FrageEntwicklungBatch, Shell
Hallo Freunde der Sonne,

tatsächlich bin ich jetzt kein ITler mehr, sondern so ein IT Datenschutztyp ITler.
Muss leider die Kunden immer darauf hinweisen, dass der Account nicht nur deaktiviert werden muss, sondern auch nach 6 Monaten nach der Deaktivierung tatsächlich auch gelöscht werden muss. Daher meine Frage, wenn die das nicht selbst machen, wie bekomme ich es hin, alle Accounts die 6 Monate nach dem Deaktivierungsdatum, auch gelöscht werden und nicht nur deaktiviert? Spaß beiseite. Die Frage ist : ich will in einer Unter OU alle Accounts löschen, die nach 6 Monaten deaktivert wurden und die löschen..
Bin für jeden Hinweis dankbar.

LG
lordofremixes
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 666814

Url: https://administrator.de/contentid/666814

Ausgedruckt am: 22.11.2024 um 04:11 Uhr

7 Kommentare
Neuester Kommentar
Goto Top
chkdsk
chkdsk 18.05.2021 aktualisiert um 07:23:21 Uhr
Goto Top
Moin,

mit Powershell ganz einfach. Das Skript kannst du auch per Task Scheduler jeden Tag laufen lassen.
Import-Module ActiveDirectory

$Months = (get-date).AddMonths(-6)
$users = Get-ADUser -properties * -filter {((modifyTimeStamp -le $Months) -AND (enabled -eq $False))} -SearchBase "DEINE OU"| where CanonicalName -Like "NamedAccounts" | select-object SAMaccountname  
 foreach ($user in $users)
 {
     write-host Deleting account $user.SAMaccountname
     Remove-ADUser -Identity $user.SAMaccountname
 }

Grüße
Inf1d3l
Inf1d3l 18.05.2021 um 07:54:01 Uhr
Goto Top
Da fehlen noch:
- Exchange Postfach
- Benutzerprofil
- Benutzer-Homeverzeichnis

face-smile
joehuaba
joehuaba 18.05.2021 um 08:29:06 Uhr
Goto Top
Guten Morgen face-smile

Es gibt auch noch die Möglichkeit die alten Benutzerprofile auf den Computern löschen zu lassen.
Vielleicht ist das eine nette Option "on top" ?!
https://www.itnator.net/alte-benutzerprofile-loschen-mit-gpo/

Gruß joehuaba
chkdsk
chkdsk 18.05.2021 um 08:42:21 Uhr
Goto Top
Bin ich jetzt mit Absicht nicht drauf eingegangen, weil davon ja nicht die rede war face-smile
Doskias
Doskias 18.05.2021 um 09:40:10 Uhr
Goto Top
Zitat von @chkdsk:

Moin,

mit Powershell ganz einfach. Das Skript kannst du auch per Task Scheduler jeden Tag laufen lassen.
> Import-Module ActiveDirectory
> 
> $Months = (get-date).AddMonths(-6)
> $users = Get-ADUser -properties * -filter {((modifyTimeStamp -le $Months) -AND (enabled -eq $False))} -SearchBase "DEINE OU"| where CanonicalName -Like "NamedAccounts" | select-object SAMaccountname  
>  foreach ($user in $users)
>  {
>      write-host Deleting account $user.SAMaccountname
>      Remove-ADUser -Identity $user.SAMaccountname
>  }
>

Grüße

Der ModifyTimeStamp ist aber auch riskant. Theoretisch kannst du AD-Accounts auch noch bearbeiten, nachdem er deaktiviert wurde. Alleine das verschieben in eine andere OU zählt als Modify. Ich habe für deaktivierte User eine eigene OU, die ich regelmäßig prüfe. Per Skript würde ich in dem Zusammenhang nicht den ModifyTimeStamp sondern das LastLogonDate der User abfragen. Ja es gäbe manchmal einige Wochen Differenz zwischen LastLogonDate und dem tatsächlichen Ausscheiden, allerdings führt das eher zu einer früheren Löschung.

Gruß
Doskias
DerWoWusste
DerWoWusste 18.05.2021 um 10:20:01 Uhr
Goto Top
Darf ich nebenbei fragen, wo genau das gesetzlich geregelt ist, damit ich es selbst dokumentieren kann?
Danke
lordofremixes
lordofremixes 09.12.2021 um 19:40:43 Uhr
Goto Top
Hi,

Ist nichts gesetzliches, Vorgabe vom Konzern.

LG
FrageEntwicklungBatch, Shell
Mehr von lordofremixeslordofremixesCrowdstrike Problem - best Practise gesuchtlordofremixes - 15 KommentarelordofremixesExtensionAttribute1 umschreibenlordofremixes - 6 KommentarelordofremixesEiner alten Cent OS VM einen forward proxy mit IP und Port beibringenlordofremixes - 1 KommentarlordofremixesAD extensionAttribute auslesen, bearbeiten und neu schreibenlordofremixes - 6 Kommentare
Heiß diskutiert
superfun2k24Sophos SFOS 20 DNAT funktioniert nichtsuperfun2k24 - 26 Kommentareuser217Kaufberatung Hardware - Hyper-V Cluster 3 Nodesuser217 - 25 KommentarePharaunIntel-E810 QSFP28 to Mikrotik QSPF+ mit 40Gbit VerbindungPharaun - 23 KommentarecseLaufwege erfassen in großer Hallecse - 20 Kommentareprplemk2Testumgebung bauen (Grundlegend)prplemk2 - 19 KommentareaufdemmarsHP Z620 USB hat kein Strom beim Startenaufdemmars - 17 KommentareYan2021Nachricht an mehrere PCs im Netzwerk sendenYan2021 - 17 KommentareTJ.Hooker74Dom.Admin-Passwort ändern - Auswirkungen auf EX, HCW, AADCTJ.Hooker74 - 14 KommentareadmtechEntwicklertagebuch: Release 6.4 - Filteradmtech - 13 KommentaremaisenkaiserSwitch ohne STP ins Netzwerkmaisenkaiser - 13 KommentareJudgelgZertifikate in die Exchange Online GAL hochladenJudgelg - 13 KommentareleberkaeseFB7590 ISDN Fax-Funktionleberkaese - 12 Kommentare