Active Directory Userverwaltung für Webseite

Hallo Com,

Problemstellung:

Win Server 2003 mit über 800 Usereinträgen in einer OU, diese ist die Zugangsberechtigung für eine Webseite, nun soll der User der seit mindestens 60 Tage nicht mehr Aktiv war benachrichtigt werden das sein Account gelöscht wird.

Fall 1: User klickt auf den Link oder ähnliches
- Account bleibt die nexten X Tage Aktiv

Fall 2: User reagiert nicht
- Account wird nach ablauf der 30 Tage automatisch gelöscht.

Gibt es für so eine Problemstellung bereits eine fertige Lösung, oder darf ich mir die nexten Tage mit der Powershell was eingenes basteln?

Vielen Dank

Marc

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 293550

Url: https://administrator.de/forum/active-directory-userverwaltung-fuer-webseite-293550.html

Ausgedruckt am: 21.04.2025 um 19:04 Uhr

3 Kommentare

Neuester Kommentar

Moin
Nun ich nehme an das dies eine Individuellen Aufbau habt den jeder was anders macht.
Dazu brauchst du ja eh nur ein Cronjob der Täglich einmal läuft und die DB durchgeht und alle User eine Mail schickt die Inaktiv sind als Vorinfo und dann ab Tag x diese aus der DB entfernt.
Vergiss aber nicht die Logs dazu wenn die Userid mal wegen einer Prüfung oder Problem gebraucht wird und du dann nicht mehr zuordnen kannst wer dies damals war...

Wobei man natürlich auch die Logs durchgehen lassen kann...

Welcher Webserver wird eingesetzt?

Hi

Benutzeraccounts auf die ggf. geloggt wird zu löschen ist nicht der richtige Weg. In einem Sharepoint machst dann mehr "kaputt" da am Ende bei Dokumenten nur noch die verwaiste SSID steht und nicht mehr der Name.

Wir lassen regelmäßig ein Script laufen, das die Accounts deaktiviert und in eine andere OU schiebt, anschließend geht einer von uns durch die "neu" deaktivierten Accounts und entfernt alles überschüssige aus den Objekten (Adressen, Benutzergruppen, Profilpfade usw.) und damit ist das dann erledigt (jaja ich weis, das kann man auch noch scripten aber die Anzahl ist bei uns aktuell eher gering

).

Hier das Powershell Script

#Script used to fiund all accounts ahwihc are inactive in Active Directory and move them to a specific OU and disable them 
#Customise the script with the source serach OU and desitnation OU to move the accounts, and specify the number of days the computer 
#must have been inactive for - suggested value is 60 days.  
 
#Script uses quest powershell commandlets which can be downloaded for free from quest website 
# http:{{comment_single_line_double_slash:0}}
 
#Specify the OU you want to search for inactive accounts 
 
    $SearchOU=“OU=Users,DC=domain,DC=local"   
 
#Specify the OU you want to move your inactive computer accounts to 
 
    $DestinationOU=“ou=inactive users,DC=domain,DC=local"   
 
#Specify the number of days that computers have been inactive for 
 
    $NumOfDaysInactiveFor = 180 # hier die Tage rein, ab wann der deaktivert werden soll
     
#Specify the description to set on the computer account 
 
    $Today = Get-Date 
     
    $Description = "Account disabled due to inactivity on $Today"   
 
#DO NOT MODIFY BELOW THIS LINE 
 
Get-QADUser -InactiveFor $NumOfDaysInactiveFor -SizeLimit 0 -SearchRoot $searchOU -IncludedProperties ParentContainerDN | foreach {  
 
    $computer = $_.sAMAccountName 
    # $SourceOU = $_.DN 
     
    #Remove the commented # from the next line if you want to set the description to be the source OU 
    #$Description = "SourceOU was $SourceOu"  
     
    Set-QADUser $computer -Description $Description 
 
    Disable-QADUser $computer 
 
    Move-QADObject $computer -NewParentContainer $destinationOU  
	}