Cómo encontrar y eliminar cuentas de ordenador antiguas en Active Directory

Cómo encontrar cuentas de ordenador inactivas en el directorio activo

Si Active Directory no se limpia con regularidad, es posible que se cargue con cuentas de ordenador antiguas.

Esto puede generar grandes problemas, como informes inexactos, políticas de grupo lentas, problemas con la distribución y las correcciones de software, sincronización, etc.

En las medianas y grandes empresas, es posible que se sorprenda de la cantidad de ordenadores sin usar que quedan en Active Directory.

Por eso es importante limpiar Active Directory de vez en cuando.

En este tutorial, le mostraré 3 métodos diferentes para encontrar y eliminar cuentas de ordenador antiguas.

Primero debe comprender cómo funcionan estos métodos (herramientas). Hay dos atributos que puede usar para encontrar cuentas de ordenador antiguas, estos son:

  1. Última hora de inicio de sesión: Los equipos de Active Directory tienen un atributo llamado lastLogonTimestamp, que se almacena la última vez que se inició sesión en el equipo.
  2. Edad de la contraseña del ordenador: Al igual que las cuentas de usuario, los ordenadores tienen una contraseña. Cambian automáticamente cada 30 días.

Las herramientas utilizadas en este tutorial consultarán la hora del último inicio de sesión o la antigüedad de la contraseña del ordenador para determinar si el ordenador está inactiva.

Advertencia: Algunos de estos métodos pueden ser muy peligrosos.

No eliminaría inmediatamente las cuentas de ordenador reportadas por estas herramientas. Mi consejo es usar estas herramientas para encontrar ordenadores viejas, apagarlas por x días y luego eliminarlas. Puede tener usuarios móviles, usuarios de VPN, usuarios domésticos, y estas ordenadores a veces aparecerán en estas herramientas. Es más seguro deshabilitar las cuentas si aún están activas, simplemente puede volver a habilitarlas.

Índice

    Método 1: herramienta de limpieza AD

    Esta es una herramienta que creé para simplificar el proceso de limpieza de Active Directory. Además de borrar cuentas de ordenadores antiguas, también puede encontrar usuarios inactivos, deshabilitar cuentas vencidas, cuentas iniciadas y grupos vacíos.

    Esta herramienta utiliza la última estimación de tiempo de inicio de sesión para encontrar ordenadores antiguas, puede cambiar la inactividad por cualquier número de días. Veamos un ejemplo.

    1. Descarga e instala la herramienta

    Puedes descargarlo aquí

    2. Herramienta abierta

    Ingrese los días de inactividad (sin inicio de sesión)

    Introduce los días de inactividad

    3. Seleccione un área de búsqueda

    Puede buscar en todo el dominio o seleccionar una unidad organizativa o un grupo (o varias unidades organizativas y grupos)

    Seleccione todo el dominio o seleccione una unidad organizativa o grupo

    4. Haga clic en Ejecutar

    Ahora haga clic en "Ejecutar" y se mostrarán los resultados.

    Muy fácil de usar.

    La tabla de resultados muestra el nombre de usuario, el último inicio de sesión, el estado, el nombre distintivo y el tipo de objeto.

    Características clave

    • Puede ordenar y filtrar cada columna
    • Utilice el icono de búsqueda para buscar resultados
    • Use la lista desplegable de filtros para restringir la búsqueda a usuarios, ordenadores o ambos
    • Puede mover cuentas de forma masiva y deshabilitarlas
    • Encuentre cuentas inhabilitadas, vencidas, sin usar y grupos vacíos
    • Los resultados se pueden exportar usando el botón exportar.

    Eso es todo para los métodos 1.

    La herramienta de limpieza de AD incluye una prueba gratuita para que pueda probarla en su entorno de AD.

    Método 2: herramienta de línea de comandos Oldcmp

    Oldcmp es una herramienta de línea de comandos que se creó específicamente para limpiar cuentas de ordenadores antiguas. En lugar de verificar la hora del último inicio de sesión, esta herramienta verifica la antigüedad de las contraseñas de los ordenadores. Por defecto, comprueba durante 90 días, pero eso se puede cambiar.

    Esta herramienta tiene muchas protecciones para evitar que explote Active Directory. Es una herramienta muy poderosa con muchas opciones, lo que la convierte en una excelente opción para automatizar todo el proceso de limpieza. Esta es una herramienta antigua pero aún se ejecuta en nuevos controladores de dominio, la probé en DC 2016.

    Algunas protecciones integradas:

    • Solo puede eliminar cuentas de máquinas deshabilitadas
    • De forma predeterminada, solo cambiará 10 cuentas a la vez, si desea más, debe especificar un número.
    • Debe habilitar la opción FORREAL para hacer cambios realmente
    • Esto no cambiará las cuentas del controlador de dominio.

    Como dije, hay muchas medidas de seguridad, eso es bueno... créanme.

    Veamos cómo usar esta herramienta en algunos ejemplos.

    Descargar y personalizar

    Puedes descargar oldcmp desde aquí

    http://www.joeware.net/freetools/tools/oldcmp/index.htm

    Descargue el archivo zip y coloque oldcmp.exe en algún lugar fácilmente accesible desde la línea de comandos.

    Yo puse el mio en c:itoldcmpoldcmp.exe

    Para ejecutar estos comandos, abra un símbolo del sistema y navegue hasta el directorio donde se encuentra el exe.

    Ejemplo 1

    viejo cmp -informe

    Esto creará un informe HTML en ordenadores de 90 días o más.

    Ejemplo 2

    oldcmp -forreal -inseguro

    Este ejemplo le permitirá encontrar cuentas y deshabilitarlas.

    Ejemplo 3

    oldcmp -delete -onlydisabled -unsafe -forreal

    Este equipo buscará y eliminará cuentas que tengan más de 90 días

    Aquí hay más ejemplos y documentación de todos los parámetros de la línea de comandos.

    http://www.joeware.net/freetools/tools/oldcmp/usage.htm

    Eso es todo por el método 2.

    Relacionado: 2 formas fáciles de encontrar todas las cuentas de usuario bloqueadas en Active Directory

    Método 3: Localice cuentas de ordenadores antiguas usando PowerShell

    Este último método usa Powershell para encontrar el atributo de la última contraseña establecida, para el trabajo necesitará el módulo PowerShell Active Directory cargado.

    El siguiente comando mostrará todas los ordenadores por nombre y contraseña hasta la última fecha establecida.

    get-adcomputer -filter * -properties passwordlastset | select name, passwordlastset | sort passwordlastset

    A continuación, veo algunas ordenadores que no se han reiniciado durante mucho tiempo.

    El único problema con este comando es que mostrará todas los ordenadores en el dominio.

    Solo me preocupan los ordenadores que no se han reiniciado en los últimos 90 días, hay algunas formas de manejar eso.

    1. Exportar resultados a CSV

    Para exportar a csv, solo agrego export-csv y la ruta al final del comando

    get-adcomputer -filter * -properties passwordlastset | select name, passwordlastset | sort passwordlastset | export-csv c:itoldcmpoldexport.csv

    Ahora puedo abrir los resultados en Excel y eliminar fácilmente lo que no necesito.

    2. Agregue una variable de fecha para filtrar ordenadores

    Otra opción es crear una variable que ayude a filtrar los resultados. Para hacer esto, usaré el comando get-date para crear una variable que establezca la fecha de hace 90 días.

    Aquí hay un comando para crear una variable, -90 lo establece en hace 90 días. Puede cambiar esto a los días que desee.

    $date = (get-date).adddays(-90)

    Ahora incluyo la variable de fecha más el argumento menos (-lt) en el comando original.

    get-adcomputer -filter {passwordlastset -lt $date} -properties passwordlastset | select name, passwordlastset | sort passwordlastset

    Ahora solo mostrará cuentas de ordenador con más de 90 días de antigüedad.

    El último paso es opcional, pero agregaré un comando para eliminar cuentas automáticamente.

    Para lograr esto, agrego un remove-adobject al cmdlet.

    get-adcomputer -filter {passwordlastset -lt $date} -properties passwordlastset | remove-adobject -recursive -verbose -confirm:$false

    Eso es todo por el método 3.

    Esperamos que este tutorial le haya resultado útil.

    Puede probar cada método y determinar cuál es mejor para usted. La herramienta SolarWinds es un buen lugar para comenzar, es rápida y fácil de implementar. Si está buscando algo más avanzado con más opciones que oldcmp o PowerShell, un truco imprescindible.

    Si tiene preguntas o problemas, escriba un comentario a continuación.

    Estaré encantado de ayudar.

    Relacionado: Cómo encontrar usuarios durante el último inicio de sesión

    Artículos de interés

    Subir