Узнать время последнего входа пользователя в домен AD
Администратор Active Directory должен периодически удалять неактивные объекты (пользователя, компьютеры) в базе Active Directory. В этой статье мы покажем, как узнать время последнего входа в домен пользователя AD и найти учетные записи, которые неактивны более 1 года.
Вы можете узнать время последнего входа пользователя в домен AD несколькими способами.
Active Directory: пользователи и компьютеры
Для того чтобы узнать distinguishedName контейнера с экземпляром системы вы можете воспользоваться оснасткой Active Directory: пользователи и компьютеры (Active Directory: Users and Computers):
- Запустите Active Directory: пользователи и компьютеры (Active Directory: Users and Computers), откройте пункт меню Вид (View) и выберите Дополнительные компоненты (Advanced features).
- Перейдите к контейнеру внутри которого расположен экземпляр системы, откройте контекстное меню и нажмите на пункт Свойства(Properties).
- Перейдите на вкладку Редактор атрибутов(Attribute Editor), найдите атрибут distinguishedName и нажмите на кнопку Просмотр(View).
- Cкопируйте содержимое поля Значение:(Value:) и отправьте закрепленному за вашей организацией менеджеру или в службу технической поддержки support@indeed-id.com
sysrtfm
Привет, сегодня, с позволения своего коллеги Дружкова Дмитрия (автора данной инструкции), поделюсь с Вами опытом делегирования административных полномочий для работы в Active Directory. Изначально задача заключается в том что бы предоставить ограниченные права рядовому сисадмину для администрирования Organization Unit (OU) отдельного филиала компании. Работать будем в WIndows Server 2008 R2.
Административные полномочия включают в себя полный доступ и распространяются на следующие объекты: Группа , Компьютер , Контакт , Общая папка , Подразделение , Пользователь , Принтер . Данные права доступа не распространяются на объект, на который непосредственно производится делегирование (например, права доступа на удаление контейнера отсутствуют).
Для делегирования полномочий на объект Active Directory необходимо иметь права доступа администратора на него.
1. Выделить требуемый объект и нажатием правой кнопкой мыши вызвать меню свойств (для этого в консоли «Active Directory – Пользователи и компьютеры» в меню «Вид» должен быть выбран пункт «Дополнительные компоненты» ). Выбрать пункт меню «Делегирование управления…»(рисунок 1).
2. В появившемся приветственном окне «Мастера делегирования управления» меню нажать кнопку «Далее» (рисунок 2).
3. В окне «Пользователи или группы» нажать кнопку «Добавить» и в появившемся меню выбрать требуемую группу безопасности или учётную запись (делегирование прав доступа на контейнер предпочтительно производить для доменной группы безопасности). После выбора всех требуемых учётных записей нажать «ОК» и «Далее» (рисунок 3).
4. В окне «Делегируемые задачи» выбрать «Создать особую задачу для делегирования» и нажать «Далее» (рисунок 4).
5. В окне «Тип объекта Active Directory» выбрать пункт меню «Только следующими объектами в этой папке:» и далее отметить следующие объекты:
· Группа объектов
· Компьютер объектов
· Контакт объектов
· Общая папка объектов
· Подразделение объектов
· Пользователь объектов
· Принтер объектов
Отметить пункты «Создать в этой папке выбранные объекты» и «Удалить из этой папки объекты».
Нажать кнопку «Далее» (рисунок 5).
6. В окне «Разрешения» оставить пункт меню «Общие» и выбрать «Полный доступ». Нажать «Далее» (рисунок 6).
7. В окне «Завершение мастера делегирования управления» нажать «Готово» (рисунок 7).
Как добавлять пользователя и компьютер в группы. Как найти объекты в Active Directory.
Если Вы уже создали группы, то в них можно добавить объекты. Таким образом Вы сможете добавлять в группы компьютеры и пользователей.
1. Выполнить вход на машину под именем администратора. После этого необходимо открыть оснастку под названием Active Directory.
2. Выполнить открытие административной учетной записи, расположенной в подразделении Администраторы.
3. Выполнить переход на вкладку Member Of.
4. Откроется диалоговое окошко Выбор, в котором необходимо ввести имя Администратора данного домена.
5. Дважды нажмите кнопку ОК.
6. Выполнить открытия свойств группы Справка, расположенную в подразделении Администраторы.
7. Выполнить переход на вкладку Члены.
8. Выбрать нужное Вам имя и подтвердить, нажав кнопку Ок.
Для того чтобы осуществить поиск необходимого Вам объекта в Active Directory необходимо выполнить следующее:
1. Выполнить вход на машину под именем администратора. После этого необходимо открыть оснастку под названием Active Directory.
2. Выполнить клик по кнопке Поиск объектов в Active Directory.
3. Вы увидите раскрывающийся список, в котором следует выбрать домен под названием contoso.com.
4. Ввести нужное имя.
5. Кликнуть по кнопке Найти.
6. В результате, по завершению поиска, будут отображено один или несколько результатов с именем, которое Вы ввели.
7. Выполнить закрытие окна поиска.
8. Будет открыто главное меню, в котором необходимо открыть окно под названием Сеть.
9. Нажать кнопку поиск, располагающуюся в Active Directory.
10. В том случае, когда Вам необходимо выполнить новый поиск, то просто повторите шаги с третьего по седьмой.
11. В оснастке Active Directory – пользователи и ПК, необходимо выполнить клик правой кнопкой мыши по узлу Сохраненные поиски. Выберите опцию Создать, после чего примените команду Запрос.
12. Заполните поля Имя и Описание.
13. Нажмите Запрос. Подтвердите двойным кликом по кнопке ОК. Будут отображены результаты запроса, который был сохранен.
Так же стоит знать, что если Вы создаете такие объекты, как пользователь, компьютер, или же группы, можно выполнять конфигурацию лишь определенных свойств. После того, как Вы уже создали объект, можно выполнить вход в него и заняться конфигурацией атрибутов.
Свойства объектов, такие как описание, управление и заметки можно применять в том случае, если понадобится для документирования важных сведений об объекте.
Параметры учетных записей в Active Directory
В отличие от учетных записей, созданных в оснастке Active Directory Users And Computers (Active Directory — Пользователи и компьютеры), значения полей для имени пользователя, отчества и фамилии не применяются для формирования отображаемого имени. Вы должны задать его через параметр -Display. Отображаемым считается имя, которое Windows показывает в диалогах. Простое имя, являющееся частью имени учетной записи пользователя и частью доменного имени в DN, служит для формирования полного логина (полного входного имени). Такое имя предназначено для входа и аутентификации. Например, если входной домен пользователя — cpandl, а логин — marybaker, то полное входное имя пользователя — cpandlmarybaker.
Для создания учетной записи для User1, которая использует такие параметры, можно ввести команду вида:
dsadd user «CN=Mary Baker,0U=Sales,0C=site1,DC=com» -fn Mary -mi A -In Baker -samid «marybaker» -display «User1» -pwd dg56$2#
Если возникают проблемы при создании учетных записей, вы увидите предупреждение, и вам понадобится проверить синтаксис и убедиться, что все значения заданы правильно и составное имя верно. Если все в порядке, команда DSADD USER вернет DSADD SUCCEEDED.
Как узнать время последнего входа в систему с помощью PowerShell
Вы также можете использовать PowerShell, чтобы получить время последнего входа пользователя в домен. Для этого вам нужно использовать
Модуль Active Directory для Windows PowerShell . Установите этот модуль и импортируйте его в сеанс PowerShell:
Чтобы найти время последнего входа в систему для учетной записи пользователя домена user02, выполните команду:
Командлет вернул время в формате метки времени. Чтобы преобразовать его в обычное время, используйте следующую команду:
Используя PowerShell, вы вы также можете отобразить время Lastlogon для всех включенных пользователей домена:
