在 Active Directory 中查找不活动用户

Active Directory 用户有一个属性“lastLogonTimeStamp”，用于存储用户上次登录时间戳。此属性有助于查找 Active Directory 中的非活动用户。

不活动的用户帐户可能会导致安全威胁，因此系统管理员定期监控不活动的用户或禁用帐户非常重要。

在 PowerShell 中使用 Get-AdUser cmdlet 和 lastLoginTimeStamp 属性来检查用户非活动时间段并在活动目录中查找非活动用户帐户。

在此示例中，我们将讨论如何使用 PowerShell 中的 Get-AdUser cmdlet 检索活动目录中的非活动用户。

列出 Active Directory 中的非活动用户

使用 Get-AdUser cmdlet 在 Active Directory 中搜索一个或多个用户。要获取过去 60 天内未登录的非活动用户，请使用以下命令。

$inactiveDays = ((Get-Date).AddDays(-60)).Date
Get-ADUser -Filter {LastLogonDate -lt $inactiveDays} -Properties * | select-object samaccountname,LastLogonDate

在上面的 PowerShell 脚本中，$inactiveDays 变量存储使用 Get-Date cmdlet 检索的日期。它包含 60 天前的日期。

Get-AdUser cmdlet 使用 Filter 参数检查 LastLogonDate 属性小于 60 天的条件，并选择其 samaccountname 和 LastLogonDate。

上述 PowerShell 脚本的输出在活动目录中查找非活动用户。

使用 PowerShell 中的 Export-CSV cmdlet 将活动目录中的非活动用户列表导出到 CSV 文件。

以下命令下载过去 60 天内未登录的所有用户。

$inactiveDays = ((Get-Date).AddDays(-60)).Date
Get-ADUser -Filter {LastLogonDate -lt $inactiveDays} -Properties * | select-object samaccountname,LastLogonDate |
Export-Csv -Path C:\PowerShell\inactive_Users_ad.csv -NoTypeInformation

酷提示：如何使用 PowerShell 找出我所在的活动目录组！

查找 AD 中 45 天内未登录的非活动用户

使用 Get-Aduser 命令从 Active Directory 中获取 Active Directory 用户，并使用 filter 参数来识别 45 天或更长时间没有登录活动的用户帐户。

$inactiveDays = ((Get-Date).AddDays(-45)).Date
Get-ADUser -Filter {LastLogonDate -lt $inactiveDays} -Properties * | select-object samaccountname,LastLogonDate

在上面的 PowerShell 脚本中，$inactiveDays 变量存储的日期是当前日期 - 45 天。

Get-AdUser cmdlet 使用Filter 参数来检查和检索 Active Directory 中过去 45 天内没有显示登录活动的用户帐户。

酷提示：如何在 PowerShell 中使用活动目录中的禁用用户导出列表！

结论

我希望上述有关如何使用 Get-AdUser cmdlet 的 lastlogontimestamp 属性在活动目录中查找非活动用户的文章对您有所帮助。

lastLogonTimestamp 属性还可用于查找活动目录中的非活动计算机。

您可以在 ShellGeek 主页上找到有关 PowerShell Active Directory 命令和 PowerShell 基础知识的更多主题。