Como Encontrar o Último Horário de Logon dos Usuários do Active Directory (Usando ADUC)

Tutoriais
PowerShell

Como Encontrar o Último Horário de Logon dos Usuários do Active Directory (Usando o ADUC). O Active Directory é um componente central de muitas redes baseadas no Windows e serve como um banco de dados de usuários, grupos e computadores que os administradores de sistema gerenciam. Uma tarefa crucial para os administradores de sistema é identificar contas de usuários inativos no Active Directory e removê-las para melhorar a segurança e reduzir a bagunça no diretório. Para realizar isso, os administradores precisam encontrar o último horário de logon de um usuário no Active Directory.Vários métodos existem para alcançar isso, incluindo o console de Usuários e Computadores do Active Directory, consultas LDAP e comandos PowerShell. Neste tópico, examinamos esses métodos em mais detalhes e mostramos como os administradores de sistema podem facilmente encontrar o último horário de logon de um usuário no Active Directory.

Vários métodos existem para alcançar isso, incluindo o console de Usuários e Computadores do Active Directory, consultas LDAP e comandos PowerShell. Neste tópico, examinamos esses métodos com mais detalhes e mostramos como administradores de sistemas encontram facilmente o último horário de logon de um usuário no Active Directory.

Devemos continuar com o artigo Como Encontrar o Último Horário de Logon de Usuários do Active Directory (Usando ADUC).

Leia Também Get-ADUser Filter OU – Listar Usuários de um OU Específico

Leia Também Top 5 Scripts do PowerShell para Active Directory (Usuários / Grupos)

Como Encontrar o Último Horário de Logon de Usuários do Active Directory (Usando ADUC)

Para determinar a última vez que um usuário de domínio fez login, utilizamos o console gráfico de Usuários e Computadores do Active Directory (ADUC). Veja como:

  1. Inicie o console dsa.msc.
  2. Selecione Exibir > Recursos Avançados no menu superior para habilitar essa opção.

3. Localize o usuário na árvore AD e acesse suas propriedades.
4. Clique na guia Editor de Atributos.
5. Procure o atributo último login na lista de atributos, que exibe o momento do mais recente domínio tempo de login do usuário.

Nota. O lastLogon lastLogonTimestamp características na captura de tela acima são comparáveis. Então, o que as diferencia uma da outra?

Leia também Get-MgUser – Encontre e Exporte Usuários do Azure AD com o PowerShell

Atributos de Carimbo de Data e Hora de Logon

  • Quando um usuário faz logon em um domínio, o lastLogon atributo é alterado. No entanto, ele só altera o controlador de domínio que forneceu a outros controladores de domínio a autenticação do usuário não replicado. Como resultado, devemos verificar esse atributo em cada controlador de domínio, se vários controladores de domínio estão espalhados em vários sites e sub-redes do Active Directory sites. Em seguida, devemos comparar as informações obtidas. O valor desse atributo para um usuário em vários DCs pode variar ou até mesmo ser zero (se o usuário for um usuário não autenticado neste DC);
  • Quando um usuário faz login em um controlador de domínio, o lastLogonTimeStamp atributo também é modificado e replicamos para outros controladores de domínio. No entanto, leva um tempo para replicar essa propriedade (replicamos apenas se o valor atual for catorze (14) dias ou mais antigo do que o anterior). Como resultado, a informação nesse atributo para um determinado controlador de domínio pode precisar ser mais atual.

A partir do Windows Server 2008 versão de esquema AD (AD Schema objectVersion = 44), utilizamos vários atributos alternativos relacionados a login. Estes incluem:

  • msDS-LastFailedInteractiveLogonTime: exibe a hora do mais recente tentativa de login sem sucesso.
  • msDS-LastSuccessfulInteractiveLogonTime: exibe a hora da mais recente tentativa de login bem-sucedida. É essencial verificar a versão de esquema AD para determinar se é necessário atualizar o esquema do Active Directory.

Estas propriedades, que usamos para rastrear tentativas de login interativas do usuário, são frequentemente duplicadas entre controladores de domínio AD. No entanto, elas não coletam automaticamente informações sobre preferências do usuário.

Experimente nossas Ferramentas de Relatório e Auditoria do Active Directory & Office 365

Experimente conosco gratuitamente. Centenas de modelos de relatórios disponíveis. Personalize facilmente seus próprios relatórios no AD, Azure AD & Office 355.




Leia tambémCrie Relatórios de Logon do Active Directory com o PowerShell

Habilitando Propriedades de Login Usando Política de Grupo

Para tornar esses recursos disponíveis:

  1. Ative a configuração do Objeto de Política de Grupo (GPO) “Fornecer informações sobre logons anteriores a computadores cliente para controladores de domínio” localizado em Configuração do Computador > Modelos Administrativos > Sistema > KDC.
  2. Crie um GPO com este parâmetro.
  3. Atribua o GPO ao contêiner de Controladores de Domínio.

Para gerar uma lista de usuários que não fizeram login no domínio há algum tempo usando uma consulta LDAP no console gráfico do Active Directory, siga estas etapas:

  1. Converta a data desejada para o formato ToFileTime. Por exemplo, se quisermos encontrar usuários que não fizeram login há mais de 90 dias, usamos o comando do PowerShell para obter o valor da data:
(Get-Date).AddDays(-90).ToFileTime()

Este trecho de código fornece um valor no tempo de epoch como 132988354159396418 com base na data especificada.

2. Insira o valor FileTimeDate na consulta LDAP:

console.log( 'Code is Poetry' );

3. Abra o console Usuários e Computadores do AD, clique com o botão direito do mouse no nó Consultas Salvas e clique em Novo, depois em Consulta.

4. Nomeie a consulta e clique no botão Definir Consulta.
5. Escolha Pesquisa Personalizada na lista suspensa e vá para a guia Avançado.
6. Copie a consulta LDAP no campo Digite a Consulta LDAP.

7. Salve a consulta clicando em OK e depois confirme com outro OK.
8. Selecione a consulta nas Consultas Salvas e pressione F5 para atualizar a lista de objetos. O console ADUC exibe uma lista plana de usuários que fizeram login pela última vez no domínio há mais de 90 dias.

9. Remova ou desative as contas de usuário inativas do domínio diretamente do console do AD.

Leia também Crie relatórios de Política de Grupo do Active Directory com o PowerShell (GPO)

Encontre a Hora do Último Login Usando CMD

Próximo com o artigo Como Encontrar a Última Hora de Login de Usuários do Active Directory (Usando o ADUC) é aprender a encontrar a Última Hora de Login usando o CMS. Usando as ferramentas net ou dsquery da linha de comando, podemos descobrir quando o usuário fez o último login no domínio. Por exemplo, execute o seguinte comando em um terminal de prompt de comando (não precisamos de direitos de administrador de domínio para obter informações de usuário do AD):

net user administrator /domain | findstr "Last"

Se quisermos obter a última hora de login de um usuário local, precisamos remover o /domain parâmetro:

net user User | findstr "Last"

Também obtemos a última hora de login usando dsquery. Por exemplo:

dsquery * domainroot -filter "(&(objectCategory=Person)(objectClass=User)(sAMAccountName=admin))" -attr distinguishedName lastLogon lastLogonTimestamp -limit 0

O principal problema é que os atributos lastLogonTimestamp e lastLogon estão no formato de carimbo de data/hora no AD, e precisamos convertê-los para um formato de hora normal.

Usamos este comando para encontrar todos os usuários inativos, por exemplo, por 10 semanas:

dsquery user domainroot -inactive 10

Leia também Implantar Relatório de Último Logon do Active Directory (Ferramenta de Auditoria)

Encontre a Hora do Último Logon Usando o PowerShell

Também usamos o PowerShell para obter a hora do último domínio logon do usuário. Para isso, precisamos usar o módulo PowerShell do Active Directory e comandos PowerShell. Primeiro, abra o PowerShell e execute o cmdlet Import-Module para importar o módulo Active Directory:

Import-Module ActiveDirectory

Leia também Ferramenta de Relatório de Logon e Logoff de Usuários do Active Directory (Filtro Avançado)Encontre os Usuários Inativos Dentro de um Determinado Número de Dias

Get-ADUser -Identity username -Properties LastLogon | Select-Object -Property Name, LastLogon

Para encontrar contas que não fizeram logon por um período específico de dias, como 90 dias, usamos um comando PowerShell que filtra as contas de usuário com base em seu atributo LastLogonTimestamp. Aqui está um exemplo de comando:

Get-ADUser -Filter {Name -eq "username"} -Properties * |
Select-Object Name, @{N='LastLogon'; E={[DateTime]::FromFileTime($_.LastLogon)}}

Este comando procura por contas que estão inativas há 90 dias ou mais e seleciona apenas aquelas que são contas de usuário. Em seguida, ele exibe os nomes dessas contas de usuário e o valor do atributo LastLogonTimestamp, que representa a última vez que o usuário fez logon no domínio.Ajustamos o parâmetro TimeSpan para procurar por contas que estão inativas por um número diferente de dias. Por exemplo, se quisermos procurar por contas que estão inativas há 60 dias, definimos TimeSpan como 60.00:00:00.Observe que o AD atualiza o atributo LastLogonTimestamp após um usuário fazer logon ou sair do sistema, então o valor pode ser parcialmente preciso. Além disso, este atributo é replicado entre os controladores de domínio apenas a cada 9-14 dias por padrão, então podemos obter informações atualizadas apenas para algumas contas de usuário.

Leia Também Ferramenta de Relatório de Login e Logoff de Usuário do Active Directory (Filtro Avançado)

Encontre Usuários Inativos Dentro de um Determinado Período de Dias

Para encontrar contas que não fizeram login por um número específico de dias, como 90 dias, usamos um comando do PowerShell que filtra contas de usuário com base em seu atributo LastLogonTimestamp. Aqui está um exemplo de comando:

Search-ADAccount -AccountInactive -TimeSpan 90.00:00:00 | where {$_.ObjectClass -eq 'user'} | Select-Object Name, LastLogonTimestamp

Este comando pesquisa contas que estão inativas há 90 dias ou mais e seleciona apenas aquelas que são contas de usuário. Em seguida, exibe os nomes dessas contas de usuário e o valor do atributo LastLogonTimestamp, que representa a última vez que o usuário fez login no domínio.

Ajustamos o parâmetro TimeSpan para pesquisar contas que estão inativas por um número diferente de dias. Por exemplo, se quisermos pesquisar contas que estão inativas há 60 dias, definimos TimeSpan como 60.00:00:00.

Observe que o AD atualiza o atributo LastLogonTimestamp após um usuário fazer login ou logout do sistema, portanto, o valor pode ser parcialmente preciso. Além disso, esse atributo é replicado entre controladores de domínio apenas a cada 9-14 dias por padrão, portanto, só podemos obter informações atualizadas para alguns contas de usuário.

Leia também Obtenha Membros do Grupo do Active Directory e Exporte para CSV usando PowerShell

Exportar para arquivo CSV

Para exportar a lista de contas de usuários inativos para um CSV arquivo, modificamos o comando do PowerShell fornecido anteriormente para incluir o cmdlet Export-CSV . Aqui está um exemplo de comando:

Search-ADAccount -AccountInactive -TimeSpan 90.00:00:00 |
where {$_.ObjectClass -eq 'user'} |
Select-Object Name, LastLogonTimestamp |
Export-CSV C:\InactiveUsers.csv -NoTypeInformation

Este comando pesquisa contas que estão inativas há 90 dias ou mais e seleciona apenas aquelas que são contas de usuário. Em seguida, determina as propriedades Nome e LastLogonTimestamp dessas contas de usuário e as exporta para um arquivo CSV localizado em “C:\InactiveUsers.csv”.

O parâmetro “-NoTypeInformation” especifica que o arquivo CSV não deve incluir informações de tipo .NET para cada objeto, o que torna o arquivo mais fácil de ler. Após executar este comando, abrimos o arquivo CSV com o Excel ou qualquer outra aplicação de planilha para visualizar a lista de contas de usuário inativas e seus últimos horários de logon.

Obrigado por ler o artigo Como Encontrar o Último Horário de Logon dos Usuários do Active Directory (Usando o ADUC). Vamos concluí-lo agora.

Também leia Melhores Práticas de Segurança do Active Directory: Proteja seu Ambiente

Conclusão sobre Como Encontrar o Último Horário de Logon dos Usuários do Active Directory (Usando o ADUC)

Em conclusão, encontrar a última hora de logon de um usuário no Active Directory é uma tarefa essencial para administradores de sistemas, pois permite identificar contas de usuários inativas que podem ser desabilitadas ou removidas para melhorar a segurança e reduzir o caos no diretório. Alcançamos isso usando vários métodos, incluindo o console de Usuários e Computadores do Active Directory, consultas LDAP e comandos do PowerShell comandos.

Com as ferramentas e técnicas certas, os administradores de sistemas encontram rapidamente e facilmente a última hora de logon de um usuário no Active Directory e tomam as ações apropriadas para gerenciar seu diretório de forma eficaz.

Source:
https://infrasos.com/how-to-find-active-directory-users-last-logon-time-using-aduc/