ドメインの機能レベルが2003に引き上げられる前から非アクティブになっているユーザーを見つけるにはどうすればよいですか?
非アクティブなアカウントを削除しようとしていますが、ドメインの機能レベルが2003に引き上げられる前から、アカウントの大部分が非アクティブになっていることがわかりました。これらすべてのlastLogonTimestamp属性は<Not Set>です。アカウント、およびDSQuery User -inactive #はそれらを返しません。
これらの非アクティブなアカウントを見つけるにはどうすればよいですか?
lastLogonTimestamp<Not Set>を使用してアカウントのリストを取得した場合、そのリストはアカウントの停止を示す信頼できる指標になりますか?
これは私の電話からのものなので、わずかな構文エラーがある場合はご容赦ください。
get-aduser -Filter lastlogontimestamp -eq $null -properties lastlogontimestamp
あなたが探しているものをキックバックする必要があります。 LastLogonTimestampの値がnullの場合は、DFLが発生してからアカウントがログオンしていないことを意味します。これは、すでに理解しているように、アカウントを検索するための信頼できる方法です。
また、ADUCの保存済みクエリ機能を使用してこれを検索できるはずですが、null属性を検索するために必要な正確な構文はわかりませんが、PowerShellの方がはるかに好きです。
OldCmp lastLogonTimeStampで機能しますが、pwdLastSetでも機能するため、パスワードを永久に設定していない(パスワードの変更が必要であると想定している)ユーザーがいる場合は、クエリまたはMDMarraが推奨しているクエリを検証します。