En tant qu’Administrateur ou Ingénieur Systèmes Microsoft, vous pouvez être amené à lister les comptes Utilisateurs et/ou Ordinateurs Active Directory inactifs, ici le terme « Inactif » signifie l’absence de connexion (authentification sur un DC) depuis un X temps.
Le but étant d’optimiser votre annuaire AD en supprimant les comptes Utilisateurs et/ou Ordinateurs inutilisés correspondant à des personnes (salariés, stagiaires, prestataires externes …) ne faisant plus parti de l’entreprise.
Les consoles et outils graphiques intégrés dans Windows Server ne permettent pas d’effectuer ce genre d’opération, en revanche certains outils en ligne de commande le permettent.
Mais comment puis-je donc lister les comptes utilisateurs et ordinateurs AD inactifs ?
Eh bien, cela peut se faire soit via :
> DSQuery : outil en ligne de commande | si vos DCs sont sous Windows Server 2003 ou 2008
> Module PowerShell « ActiveDirectory » | si vos DCs sont sous Windows Server 2008 R2, 2012 ou 2012 R2
Dans les exemples ci-après, un compte utilisateur ou ordinateur est considéré inactif si celui-ci n’a pas été utilisé lors des 30 derniers jours.
#Méthode N°1 : via DSQuery.exe
> Liste des comptes Utilisateurs inactifs (4 => 4 semaines => 1 mois)
DSQuery user -inactive 4
> Liste des comptes Ordinateurs inactifs (4 => 4 semaines => 1 mois)
DSQuery Computer -inactive 4
Dans le cadre d’un audit Active Directory, vous souhaiteriez peut être connaître le nombre de comptes Utilisateurs et/ou Ordinateurs inactifs, dans ce cas là, il suffit de rajouter les paramètres | find /c /i « CN= » après la commande DSQuery
> Nombre de comptes Utilisateurs inactifs
DSQuery User -inactive 4 -Limit 0 | find /c /i "CN="
> Nombre de comptes Ordinateurs inactifs
Note : Si votre infrastructure AD comporte plus de 100 objets Utilisateurs ou Ordinateurs, il faudrait spécifier le paramètre -Limit 0 pour bypasser cette restriction.
#Méthode N°2 : via Windows PowerShell
Note : la valeur de la variable $Domaine doit être spécifiée avant d’exécuter le script.
> Liste des comptes Utilisateurs inactifs
Import-Module ActiveDirectory $Domaine = "mondomaine.lan" $JourInactivite = 30 $Date = (Get-Date).Adddays(-($JourInactivite)) $ListeOrdinateur = Get-ADUser -Filter {LastLogonTimeStamp -lt $Date -and enabled -eq $true} -Properties LastLogonTimeStamp
> Liste des comptes Ordinateurs inactifs
Import-Module ActiveDirectory $Domaine = "mondomaine.lan" $JourInactivite = 30 $Date = (Get-Date).Adddays(-($JourInactivite)) $ListeOrdinateur = Get-ADComputer -Filter {LastLogonTimeStamp -lt $Date -and enabled -eq $true} -Properties LastLogonTimeStamp
> Nombre de comptes Utilisateurs inactifs
Import-Module ActiveDirectory $Domaine = "mondomaine.lan" $JourInactivite = 30 $Date = (Get-Date).Adddays(-($JourInactivite)) $ListeOrdinateur = Get-ADUser -Filter {LastLogonTimeStamp -lt $Date -and enabled -eq $true} -Properties LastLogonTimeStamp $ListeOrdinateur.Count
> Nombre de comptes Ordinateurs inactifs
Import-Module ActiveDirectory $Domaine = "mondomaine.lan" $JourInactivite = 30 $Date = (Get-Date).Adddays(-($JourInactivite)) $ListeOrdinateur = Get-ADComputer -Filter {LastLogonTimeStamp -lt $Date -and enabled -eq $true} -Properties LastLogonTimeStamp $ListeOrdinateur.Count
Le résultat peut être exporté vers un fichier CSV, celui-ci pourra être intégré par la suite dans un document d’audit format Word ou communiqué séparément.
L’export vers le fichier CSV peut se fair en rajoutant les deux lignes suivantes
Select-object Name,@{Name="Stamp"; Expression={[DateTime]::FromFileTime($_.lastLogonTimestamp)}} | export-csv C:\ListeUtilisateursOUOrdinateursInactifs.csv -notypeinformation
En Résumé :
Optimisation de l’Active Directory : Suppression des comptes inactifs pour améliorer la gestion de l’Active Directory.
Utilisation de DSQuery.exe : Identification des comptes utilisateurs et ordinateurs inactifs à l’aide de DSQuery.exe, avec des commandes spécifiques.
Méthode PowerShell : Emploi du module PowerShell ActiveDirectory pour récupérer les comptes inactifs.
Exportation vers un Fichier CSV : Procédure pour exporter les résultats obtenus vers un fichier CSV.
Application Pratique : Utilisation pratique de ces méthodes pour les audits de sécurité et l’optimisation des ressources.
voici le message d’erreur que je récois
FIND : format incorrect de paramètre
Bonjour Yves,
Il manquait le paramètre -Limit avec la valeur 0 pour enlever la restriction concernant l’affiche du résultat retourné, la commande finale est donc : DSQuery computer -inactive 4 -limit 0 | find /c /i « CN= » ou DSQuery user -inactive 4 -limit 0 | find /c /i « CN= ».
J’ai également rectifié les commandes sur l’article.
Teste et tiens moi informé du résultat.
Merci pour ton feedback.
A+
HK.
Dois je laisser « CN= » comme vous l’avez fait ou la personnaliser selon mon environnement
Bonjour Armel,
le « CN= » est paramètre standard, donc à laisser dans la commande à exécuter.
Bonjour Hicham, désolé je sort du cadre de ce post,
j’ai une préoccupation à savoir comment lister des PC rattaché à un compte utilisateur active directory.
En mot, a savoir comment peut trouver le nom d’ordinateur d’un utilisateur en fonction de son compte utilisateur.
Merci