Wednesday, November 29th, 2006...12:47 pm

FAQ #2 Jak znaleźć nieużywane konta komputerów w sieci?

Jump to Comments

Temat wraca co jakiś czas na forum wss.pl i czasami na grupach, więc to dobry kandydat na FAQ.

Konto komputera w katalogu Active Directory posiada tak jak i obiekt użytkownika hasło, którym uwierzytelnia się w domenie. Proces dodania komputera do domeny między innymi polega również na ustaleniu tego hasła dla komputera. Hasło to musi być następnie co jakiś czas zmienione przez maszynę. Jeżeli hasło nie zostanie zmienione to stacja robocza może mieć problem z uwierzytelnieniem się w domenie.

Z tego faktu możemy skorzystać przy wyszukiwaniu starych, nieużywanych już kont komputerów w katalogu Active Directory. Konta, które nie zmieniły hasła w odpowienio długim okresie czasu możemy uznać za konta nieaktywne. Domyślnie komputery muszą zmieniać hasło maszyny co 30 dni, okres ten może być jednak zmieniony poprzez GPO.

Proces ten wspomaga znakomicie narzędzie oldcmp.exe, które pozwala zarówno na wygenerowanie raportu zawierającego dane o nieaktywnych kontach komputerów , jak i automatyczne wyłączenie lub usunięcie tych kont.

Oczywiście opisany mechanizm będzie działał pod warunkiem że zmiana haseł nie została wyłączona lub zabroniona, co jest wyjątkowo nie wskazane ze względów bezpieczeństwa sieci.

Leave a Reply