Wer ein Netzwerk mit einer Active Directory Domäne betreibt, legt für neue Anwender oder für Dienste immer neue Benutzerkonten an. Geräte bei Netzwerken mit mehreren hundert oder tausenden Usern verliert der Administrator schnell den Überblick über alle Active-Directory Konten. Deswegen ist es sinnvoll, von Zeit zu Zeit zu prüfen, welche Konten des Active Directory sich noch nie an der Domäne angemeldet haben.

Ungenutzte AD-Konten feststellen

Um diese ungenutzten Active Directory Konten festzustellen, könnt Ihr Euch einer PowerShell Abfrage bedienen. Wir sind vor einiger Zeit in unserem Beitrag „LastLogon (Letzter Login) eines Users im AD feststellen per Get-ADUser“ bereits auf die wunderbaren Möglichkeiten eingegangen, die uns PowerShell in Verbindung mit dem Active Directory bietet.

Wenn Ihr die Konten auflisten möchtet, die sich bisher noch nie an der Domäne angemeldet haben, so öffnet bitte eine PowerShell Konsole und setzt darin dann folgende Befehle ab.

Import-Module ActiveDirectory
Get-ADUser -Filter {(lastlogontimestamp -notlike „*“)} | Select Name,DistinguishedName

Wir haben Euch den Vorgang hier nachfolgend einmal exemplarisch abgebildet.

AD Konten anzeigen lassen die sich noch nie an einer Domäne angemeldet haben

Zunächst werden über den Befehl „Import-Module ActiveDirectory“ die notwendigen Funktionenserweiterungen der PowerShell für Abfragen des Active Directory geladen, sodass dann mit dem „Get-ADUser“ Befehl die inaktiven bzw. ungenutzten Active-Directory Konten aufgelistet werden. Bei der Liste wird der AD Kontoname und der „DistinguishedName“ angezeigt, wie Ihr auf dem Bild erkennen könnt.

Wichtig: Diese Abfrage funktioniert allerdings nur auf den Windows-Systemen, die die RSAT Tools (Remote Server Administration Tools) installiert haben. 

Dieser Befehl sollte eigentlich in regelmäßigen Abständen in jeder AD Domäne durchgeführt werden, damit alte und unbenutzte AD-Konten erkannt und ggf. deaktiviert oder gelöscht werden können. Solltet Ihr auf der Suche nach weiteren, interessanten Tipps zum Active Directory sein, so solltet Ihr Euch diese Beiträge hier auf unserem Blog genauer anschauen:

– Organisationseinheiten (Container) trotz Schutz im Active Directory löschen
– Liste aller XP PC´s im AD (Active Directory) erstellen
– Veraltete Computer oder User im Active Directory finden
– Die Installation von Active Directory ist fehlgeschlagen ….