我试图清除非活动帐户,并发现大部分帐户在我们的域function级别提高到2003年之前一直处于非活动状态。所有这些帐户上的DSQuery User -inactive #属性均为<Not Set> , DSQuery User -inactive #将不会返回它们。
我怎样才能find这些不活动的帐户?
如果我使用lastLogonTimestamp <Not Set>检索一个账户列表,那么这个列表是否会成为一个lastLogonTimestamp账户的可靠指标?
这是从我的手机,所以如果有轻微的语法错误,请原谅我:
get-aduser -Filter lastlogontimestamp -eq $null -properties lastlogontimestamp
应该踢回你正在寻找的东西。 对于LastLogonTimestamp有一个空值意味着该帐户自从DFL被引发以来没有login,所以这是一个可靠的方法来search它们,因为你似乎已经想通了。
您还应该能够使用ADUC的“保存的查询”function来search此内容,但我不确定您需要search空属性的确切语法 – 我更喜欢PowerShell。
OldCmpclosureslastLogonTimeStamp,但也可以closurespwdLastSet,所以如果你的用户没有永远设置他们的密码(并且假设你需要更改密码),这可能会起作用(编辑)来validation你的查询, MDMarra正在推荐。