Excluir ou Desativar Usuários que Não Realizam Login no Active Directory

Quase todos os bancos de dados do Active Directory têm pelo menos uma conta de usuário criada, mas o usuário nunca efetuou logon. As razões pelas quais o usuário nunca fez logon são abundantes, mas o fato de que a conta de usuário não foi endereçada ainda é um problema. Por que as contas dos usuários que não fizeram login é um problema, você pode estar se perguntando? Bem, vamos verificar algumas configurações comuns no momento da criação da conta do usuário:

1- As contas dos usuários são criadas horas, às vezes dias, antes que os funcionários comecem a trabalhar.
2- Todas as novas contas de usuários recebem a mesma senha na criação.
3- Contas dos usuários são adicionadas a todos os grupos necessários, para permitir acesso imediato aos recursos.

Considerando todas essas configurações, você deve ter percebido que você tem contas de usuários que são potenciais pontos de entrada para um ataque. O fato de que as contas de usuários existem com senhas conhecidas é uma grande preocupação de segurança. Idealmente, as contas de usuários que não fizeram login precisam ser tratadas de alguma forma. Aqui estão algumas soluções que ajudarão a obter p controle sobre essas contas.

Usuários e computadores do Active Directory (ADUC) Saved Queries

ADUC fornece a opção de “Saved Queries” como uma maneira de olhar para determinados objetos que atendam a critérios predefinidos. Há algumas opções padrões para exibir contas de usuários que possuem senhas que não expiram, não efetuaram logon por X dias e muito mais. Você também pode criar consultas personalizadas, como na Figura 1, que retorna as contas de usuários que nunca fizeram login.

Figura 1. Consulta personalizada que mostra as contas de usuários que nunca fizeram logon.

Como você pode imaginar, esta informação é muito valiosa. No entanto, há uma falha usando o método da Microsoft. Saber quem não fez login é importante, mas também é importante saber quando a conta foi criada. Isso dá ao administrador uma visão de quanto tempo a conta aguarda por um logon. Se apenas alguns dias ou semanas, o usuário ainda pode usar a conta. Se a conta foi criada há um mês ou mais, é provável que a conta seja usada. Obter a data de criação para cada usuário usando Microsoft Saved Queries é muito difícil!

ADManager Plus

O ADManager Plus supera facilmente as limitações do Microsoft Saved Queries. Como você pode ver na Figura 2, o ADManager Plus permite uma visualização dos usuários que não fizeram login,  uma coluna indicando quando a conta foi criada.

 

Figura 2. Além dos usuários que não fizerem o login, o ADManager Plus pode mostrar a data em que cada usuário foi criado.

Você também pode ver que pode haver uma coluna para o status da conta, como ativada ou desativada. Todos esses detalhes em uma visualização oferecem ao administrador uma visão sobre a conta é o risco de segurança ou não, com base nesses critérios.

Para ir ainda mais longe, todas as contas na lista podem ser modificadas para serem desativadas / ativadas, movidas, excluídas e mais – diretamente da lista mostrada na Figura 2.

Caso ainda não conheça o ManageEngine ADManager Plus, realize os testes de 30 dias grátis, contando sempre com o apoio da equipe ACSoftware.

Fone: (11) 4063 9639

Deixe um comentário