我正在尝试清除不活动的帐户,并发现大多数帐户在我们的域功能级别提升到 2003 之前就已经处于不活动状态。该lastLogonTimestamp属性存在<Not Set>于所有这些帐户上,并且DSQuery User -inactive #不会返回它们。
我如何才能找到这些不活跃的账户?
如果我检索到带有的帐户列表lastLogonTimestamp <Not Set>,该列表是否可以作为死亡帐户的可靠指标?
答案1
这是从我的手机上获取的,因此如果有轻微的语法错误,请原谅我:
get-aduser -Filter lastlogontimestamp -eq $null -properties lastlogontimestamp
应该会返回您要查找的内容。如果 LastLogonTimestamp 值为空,则表示自 DFL 提出以来该帐户尚未登录,因此这是一种可靠的搜索方法,您似乎已经明白了这一点。
您还应该能够使用 ADUC 的已保存查询功能来搜索这一点,虽然我不确定搜索空属性所需的确切语法 - 我更喜欢 PowerShell。
答案2
旧Cmp可以通过 lastLogonTimeStamp 工作,也可以通过 pwdLastSet 工作,因此如果您有用户永远没有设置他们的密码(并且假设您需要更改密码),那么这可能会起作用(编辑)来验证您的查询或 MDMarra 推荐的查询。