上一次AD用户登录？

我注意到，Active Directory中的用户数比公司的实际员工数多。

有没有一种简单的方法来检查多个Active Directory帐户，并查看是否有一段时间没有使用过的帐户？这应该可以帮助我确定是应该禁用还是删除某些帐户。

O'Reiley的Active Directory食谱在第6章中进行了解释：

6.28.1问题：您想确定哪些用户最近未登录。

6.28.2解决方案

6.28.2.1使用图形用户界面

1. 打开“ Active Directory用户和计算机”管理单元。
2. 在左窗格中，右键单击该域，然后选择“查找”。
3. 在“查找”旁边，选择“常见查询”。
4. 选择自上次登录以来的天数旁边的天数。
5. 单击立即查找按钮。

6.28.2.2使用命令行界面

dsquery用户-inactive <NumWeeks>

要获取更多信息，请参见配方6.28

该脚本源自http://synjunkie.blogspot.com/2008/08/powershell-finding-unused-ad-accounts.html；自2015年12月7日起，该URL不再可用。您可以将此信息输出到CSV文件，您可以在Excel中查看/过滤。

get-qaduser * -sizelimit 0 | select -property name,accountexpires,pass*,accountisdisabled,lastlog*,canonicalname | export-csv -path d:\Passwords.csv

值得注意的是，每个域控制器上存储的上次登录时间都不会在域控制器之间复制，实际上有两个属性可以存储上次登录时间，一个属性可以复制，但是每14个（我认为）。如果准确的时间对您很重要，那么我将使用第三方工具来查询每个域控制器（我们有90个！），我们使用了一个称为True Last Logon的工具，我建议您使用它。

我使用DumpSec（来自Somarsoft的免费软件工具）来进行此操作：DumpSec 有用，可以找到陈旧的计算机帐户：）

在执行此过程时，请记录该文件，包括您运行的步骤以及禁用/删除的帐户。在某个时候，审核员会询问您如何删除旧帐户，并且您需要文档。

一种非常快速和肮脏的方法/建议：

将每个可疑帐户的密码设置为过期，并在下次登录时要求重置。在每个帐户的描述字段中放置一个星号。请等待一周左右，然后重新检查已标记的帐户，以查看哪些帐户仍需要重设密码。禁用违规者，等待服务台呼叫，然后重新启用那些正在休假的人。

另一个：

或者，您也可以将可疑用户列表发送给您的人事/人事部门，查看其中是否有任何人会验证他们是否确实还在工作。

多一个：

最后，我相信，如果您打开“ Active Directory用户和计算机”并展开AD查询工具，则可以创建一个查询，其中详细说明了您要查找的内容。