problemsolver
Goto Top

Computeraccount bzw. Useraccount sperren, wenn für x Tage inaktiv?!?

Es sollen alle die Benutzer und Computeraccounts im Active Directory automatisch bzw. durch ein Script auf deaktiviert gesetzt werden, die länger wie x Tage inaktiv waren (z.B.: Kein Logon)

Hallo zusammen!

Ist es möglich, die oben beschriebene Sache im Active Directory zu realisieren (z.B. durch ein Script?). Hat jemand schon einmal das gleiche Problem gehabt und kann mir hier weiterhelfen?

Vielen Dank schon einmal für Eure Hilfe!!!

Content-Key: 42456

Url: https://administrator.de/contentid/42456

Ausgedruckt am: 29.03.2024 um 06:03 Uhr

Mitglied: blacky-hh
blacky-hh 18.10.2006 um 11:31:18 Uhr
Goto Top
Warum willst du Benutzer, die mehrere Tage nicht aktiv sind z. B. durch Krankheit oder Urlaub sich nicht anmelden können deaktivieren?
Mitglied: orsini1402
orsini1402 18.10.2006 um 12:51:16 Uhr
Goto Top
Hallo,

also ich will lieber auch nicht fragen, warum Di dieses tun willst. Aber den "Last Logon" bekommst Du so:
==> cmd ==> usrstat <Domain>

Gruss Orsini1402
Mitglied: Mitchell
Mitchell 18.10.2006 um 13:35:52 Uhr
Goto Top
Hi Markus, ob es auch bei deinem Problem hilft, weiss ich nicht genau (noch nicht getestet). Aber sieh dir doch mal den Beitrag von gogoflash an (der 2. face-smile)

Benutzer bzw PC zeitlich sperren?

Mfg

Mitchell
Mitglied: Biber
Biber 18.10.2006 um 13:44:25 Uhr
Goto Top
Das ginge natürlich auch mit den native NET.exe -Befehlen, also..

net user problemsolver /Domain |find "Anmeldung"
[...dieses Datum auswerten und ggf..]
net user problemsolver /Domain /Active:NO

...aber ich sterbe auch fast vor Neugierde, was denn da für eine Anforderung dahintersteht...

IMHO kann sich ein Admin nicht sonderlich beliebt machen, wenn er per Batch, Skript oder sonst irgendwie stumpfsinnig einen Account deaktiviert, weil der Benutzer krank, auf Schulung oder gerade an eine andere Domäne verliehen ist.

Wenn ein User NICHT mehr Mitglied der Domäne ist, muss diese Info organisatorisch weitergegeben werden und nicht per WENN..DANN..-Bedingung ermittelt.

Gruß
Biber
Mitglied: problemsolver
problemsolver 18.10.2006 um 16:04:44 Uhr
Goto Top
Hallo zusammen!

Vielen Dank für die kritischen Kommentare. (ist positiv gemeint!)
Ihr seid alle vollkommen im Recht, wenn Ihr den Sinn hierfür hinterfragt.

Folgender Hintergrund zur Rechtfertigung: face-wink

Es ist nur zur Kontrolle, ob es seid dem letzten Administrator noch überflüssige "Fake"-Accounts im AD gibt. Da dieses AD sehr verschachtelt ist und es durch die Kryptischen Anmeldenamen ziemlich schwierig ist aktive Nutzer von Inaktiven zu unterscheiden, versuche ich durch das Script die Letzteren zu filtern.
Diese werde ich dann manuell deaktivieren, nachdem ich Sie geprüft hab. (jaa... ihr habt ja recht... 'automatisch' war nicht so der Bringer... face-wink )

Gruß an Alle!!!
Mitglied: teflon
teflon 09.07.2009 um 12:05:00 Uhr
Goto Top
Hallo,

gern würde ich das Thema noch einmal aufnehmen. Welche Motivation problemsolver hatte diese Frage zu stellen ist mir nicht bekannt. Aber zwei Dinge zu diesem Thema möchte ich hier anmerken.

1.) Soweit ich es erkennen kann gab es keinen Lösungsvorschlag. Denn es ging nicht um eine Einschränkung, sondern um die Sperrung eines Account wenn dieser eine Zeit lang nicht benutzt wurde.

2.) Sicher ist es korrekt zu sagen dass es organisatorische Prozesse geben muss, die dafür sorgen, dass dem Admin die Information zur verfügung gestellt, wird um die Arbeiten rund um die Accounts machen zu können. Unabhängig davon ist eine organisatorische Maßnahme zu definieren wie lange eine Account unbenutzt bleiben kann bis er gesperrt wird. Das ist kein Allheilmittel schützt aber ein kleines Stück vor den Leichen im Keller.

Das es solche Leichen bei keinem der hier anwesenden Admins existieren ist schon klar!
Aber es gibt ja auch noch andere. face-wink

Also würde ich die Frage noch einmal stellen ohne eine Diskussion darüber zu führen ob der Eine oder Andere das nun gut findet oder nicht.

Wer kann eine Lösungsmöglichkeit für diese Problem ausgraben?
Vielleicht hat jemand soetwas im Einsatz?
Vielleicht kann man wenigstens eine Liste erstellen auf denen die entsprechenden Accounts stehen um dann manuell zu entscheiden was passiert? Oder es gibt andere Ideen?

Für einen Tipp oder eine Lösung wäre ich dankbar.
Ob ich das einsetzen werde kann ich dann immer noch entscheiden.

Für konstruktive Vorschläge schon einmal besten Dank im Voraus!

Viele Grüße
teflon
Mitglied: 80220
80220 09.07.2009 um 12:21:18 Uhr
Goto Top
Zitat von @teflon:
Welche Motivation problemsolver hatte diese Frage zu stellen ist mir nicht bekannt.

Dann wäre es vielleicht hilfreich, vorher seine letzte Anwort (direkt über deinem Kommentar) zu lesen, bevor du hier ein fast 3 Jahre altes Thema aus dem Grab zauberst.
Mitglied: teflon
teflon 10.07.2009 um 07:07:57 Uhr
Goto Top
Da hab' ich wohl nicht gründlich genug gelesen.
Sorry!