{"id":145405,"date":"2017-12-04T19:13:34","date_gmt":"2017-12-04T19:13:34","guid":{"rendered":"https:\/\/www.ninjaone.com\/blog\/active-directory\/"},"modified":"2025-06-20T14:09:12","modified_gmt":"2025-06-20T14:09:12","slug":"active-directory","status":"publish","type":"post","link":"https:\/\/www.ninjaone.com\/de\/blog\/active-directory\/","title":{"rendered":"Wie man Active Directory sauber h\u00e4lt | NinjaOne"},"content":{"rendered":"

Active Directory ist eines dieser Produkte, die dazu neigen, immer gr\u00f6\u00dfer zu werden. Es ist ein Produkt, an dem viele Leute jeden Tag \u00c4nderungen vornehmen und letztendlich diesen enormen Haufen von Zeug generieren, der irgendwie doch noch funktioniert. Sogar die IT-Abteilung mit den besten Absichten scheint immer eine Active Directory-Umgebung<\/a> zu haben, die unendlich viele Benutzerkonten hat, die nicht mehr ben\u00f6tigt werden, GPOs die mit OUs verbunden sind, von denen die Leute nicht mal wussten, dass sie \u00fcberhaupt noch existieren und Computerkonten, die sich auf Computer beziehen, die l\u00e4ngst nicht mehr da sind. Dieser Zustand scheint an Leute heranzupirschen. Eines Tages setzt sich jemand vor die Active Directory f\u00fcr Nutzer und Computer<\/a> (ADUC) und hat diesen Moment, in dem sie sagen: „Wow! Das muss mal aufger\u00e4umt werden.“<\/p>\n

Sobald jemand in Ihrer Organisation diesen Moment hat, wird es wahrscheinlich eine entmutigende und \u00fcberw\u00e4ltigende Aufgabe sein. Es mag sein, dass Sie das Projekt „Zeug aufr\u00e4umen“ in Angriff nehmen, aber Sie werden bald feststellen, dass Rechtsklicken und L\u00f6schen alleine, das Problem nicht wird l\u00f6sen k\u00f6nnen. Es gibt viele M\u00f6glichkeiten, dieses Projekt zum Erfolg zu f\u00fchren, wobei die erste Aufgabe darin besteht, zu definieren, was genau „Aufr\u00e4umen“ \u00fcberhaupt bedeutet. In diesem Artikel konzentrieren wir uns auf nicht verwendete Benutzerkonten<\/a>. Genauer gesagt konzentrieren wir uns auf drei Attribute, die ein Benutzerkonto m\u00f6glicherweise als „l\u00f6schbar“ einstufen. Diese Attribute sind deaktivierte Konten, Konten, die in x-Tagen nicht verwendet wurden, und Konten mit abgelaufenen Kennw\u00f6rtern.<\/p>\n

<\/p>\n

Eine der einfachsten M\u00f6glichkeiten, diese potenziell nicht verwendeten Konten zu finden, ist die Nutzung von PowerShell. Die ActiveDirectory PowerShell ist ein Modul, das ein \u00e4u\u00dferst n\u00fctzliches Cmdlet namens Search-AdAccount enth\u00e4lt, mit dem Abfragen erstellt und genau das zur\u00fcckerhalten werden kann, was wir ben\u00f6tigen. Bevor dieses Cmdlet jedoch verwendet werden kann, m\u00fcssen Sie das RSAT-Paket (Remote Server Administration Tools) von Microsoft herunterladen. Sobald das Paket installiert ist, sollten Sie das ActiveDirectory-Modul haben, und schon k\u00f6nnen Sie loslegen! Damit einer der folgenden Codes funktioniert, gehe ich davon aus, dass Sie sich an einem Windows-PC befinden, der mit der Dom\u00e4ne verbunden ist, in der sich die Nutzer befinden, die Sie suchen m\u00f6chten. Nachdem das gesagt wurde, lassen Sie uns die Sache angehen!<\/p>\n

Deaktivierte Konten in Active Directory finden<\/strong><\/h2>\n

Die erste Aufgabe besteht darin, deaktivierte Konten zu finden. Um deaktivierte Konten zu finden, verwenden wir das Cmdlet Search-ADAccount. Dieses Cmdlet verf\u00fcgt \u00fcber einen einzelnen Parameter namens Disabled, der diese Aufgabe zu einem Kinderspiel macht. F\u00fchren Sie einfach Search-AdAccount-AccountDisabled aus und voil\u00e1, alle Ihre deaktivierten Konten werden angezeigt. Beachten Sie unten, dass ich den Parameter UsersOnly verwendet habe, da dieses Cmdlet auch deaktivierte Computerkonten finden kann.<\/p>\n

C:> Search-ADAccount -UsersOnly -AccountDisabled -Server dc<\/em><\/p>\n

AccountExpirationDate :
\nDistinguishedName : CN=Guest,CN=Users,DC=mylab,DC=local
\nEnabled : False
\nLastLogonDate :
\nLockedOut : False
\nName : Guest
\nObjectClass : user
\nObjectGUID : 89cfaf2b-c6d8-4ae0-a720-e2da7d201717
\nPasswordExpired : False
\nPasswordNeverExpires : True
\nSamAccountName : Guest
\nSID : S-1-5-21-4117810001-3432493942-696130396-501
\nUserPrincipalName :
\n…………<\/p>\n

 <\/p>\n

Inaktive Benutzerkonten im Active Directory finden<\/h2>\n

Ein weiterer \u00fcblicher Verd\u00e4chtiger, der ges\u00e4ubert werden muss ist Inaktive Nutzerkonten und der ist ein weniger schwerer zu finden. „Inaktiv“ ist ein subjektiver Begriff, daher definieren wir f\u00fcr unsere Zwecke „inaktiv“ als \u00e4lter als 30 Tage, da jeder Benutzer einen LastLogonTimeStemp-Wert hat. Im Internet werden Sie viele Artikel \u00fcber die Suche nach inaktiven Nutzern finden, aber einige Leute merken nicht, dass es viel einfacher ist, als komplizierte AD LDAP-Filter zu erstellen. Der Support ist in Search-AdAccount systemeigen.<\/p>\n

Wir k\u00f6nnen Search-AdAccount-AccountInactive -UsersOnly -Timespan 30.00:00:00 verwenden, um sofort alle AD-Benutzerkonten zu finden, die innerhalb der letzten 30 Tage nicht verwendet wurden.<\/p>\n

Es gibt jedoch einen Vorbehalt. Microsoft aktualisiert nur alle 14 Tage das LastLogonTimestamp-Attribut, das mit dem LastLogonDate identisch ist, um Vervielf\u00e4ltigungsanst\u00fcrme zu verhindern. Aufgrund dieser Eigenschaft von AD ist die Verwendung dieser Methode (oder auch Get-AdUser oder Get-AdComputer mit dem erweiterten Filter) nicht 100%ig genau, wenn Sie versuchen, Konten mit einer Inaktivit\u00e4t \u00e4lter als 14 Tage zu finden. Seien Sie also gewarnt.<\/p>\n

Schlie\u00dflich m\u00fcssen wir alle AD-Benutzer finden, die ein abgelaufenes Kennwort haben, die nicht mehr ben\u00f6tigt werden. Dieser ist knifflig, weil „aktive“ Benutzerkonten ein abgelaufenes Passwort haben k\u00f6nnten, wenn es gerade erst abgelaufen ist. Ich muss also nicht nur abgelaufene Passw\u00f6rter finden, sondern auch, wie lange sie abgelaufen sind. Wenn sie abgelaufen sind, sagen wir vor 30 Tagen oder l\u00e4nger, kann ich davon ausgehen, dass diese Benutzerkonten tats\u00e4chlich inaktiv sind.<\/p>\n

Um herauszufinden, wie lange ein Passwort abgelaufen ist, muss ich zuerst das maximale Passwortalter f\u00fcr die Passwortrichtlinie der Domain finden. Ich kann dies mit dem Cmdlet Get-AdDefaultDomainPasswordPolicy tun.<\/p>\n

$MaxPasswordAge = (Get-ADDefaultDomainPasswordPolicy).MaxPasswordAge.Days<\/em><\/p>\n

Als n\u00e4chstes kann ich dann alle Benutzerkonten finden, die ein abgelaufenes Passwort haben, dann diese Benutzerkonten filtern, indem ich das letzte Mal sehen, an dem ihr Passwort zuletzt ge\u00e4ndert wurde, und kann sicherstellen, dass die maximale Zeit plus 30 Tage vergangen ist (je nachdem wie alt ich das Konto einstufe).<\/p>\n

Der Code sieht ungef\u00e4hr so aus:<\/p>\n

Search-AdAccount -PasswordExpired -UsersOnly | Where-Object {((Get-Date) – (Get-AdUser -Filter „samAccountName -eq $_.SamAccountName“).PasswordLastSet) -lt ($MaxPasswordAge + 30)}<\/em><\/p>\n

Wenn Sie das n\u00e4chste Mal nach inaktiven Eintr\u00e4gen suchen, sehen Sie sich Search-AdAccount an, um zu sehen, ob es bereits das tut, was Sie tun m\u00f6chten. Es kann Ihnen eine Menge Zeit sparen!<\/p>\n

Adam Bertram ist ein Microsoft Windows Cloud und Datacenter Management MVP. Er hat verschiedene Schulungen verfasst, ist regelm\u00e4\u00dfiger Mitwirkender zahlreicher Print- und Online-Publikationen und pr\u00e4sentiert auf verschiedenen Benutzergruppen und Konferenzen. Sie k\u00f6nnen Adam unter adamtheautomator.com oder auf Twitter unter @adbertram finden.<\/em><\/p>\n

\"\"<\/p>\n","protected":false},"excerpt":{"rendered":"

Active Directory ist eines dieser Produkte, die dazu neigen, immer gr\u00f6\u00dfer zu werden. Es ist ein Produkt, an dem viele Leute jeden Tag \u00c4nderungen vornehmen und letztendlich diesen enormen Haufen von Zeug generieren, der irgendwie doch noch funktioniert. Sogar die IT-Abteilung mit den besten Absichten scheint immer eine Active Directory-Umgebung zu haben, die unendlich viele […]<\/p>\n","protected":false},"author":9,"featured_media":362313,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"_relevanssi_hide_post":"","_relevanssi_hide_content":"","_relevanssi_pin_for_all":"","_relevanssi_pin_keywords":"","_relevanssi_unpin_keywords":"","_relevanssi_related_keywords":"","_relevanssi_related_include_ids":"","_relevanssi_related_exclude_ids":"","_relevanssi_related_no_append":"","_relevanssi_related_not_related":"","_relevanssi_related_posts":"","_relevanssi_noindex_reason":"","_lmt_disableupdate":"no","_lmt_disable":"","footnotes":""},"categories":[4356,3041],"tags":[],"class_list":["post-145405","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-it-betrieb","category-rmm-de"],"acf":[],"modified_by":"Natalia Kouriline","_links":{"self":[{"href":"https:\/\/www.ninjaone.com\/de\/wp-json\/wp\/v2\/posts\/145405","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ninjaone.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ninjaone.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ninjaone.com\/de\/wp-json\/wp\/v2\/users\/9"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ninjaone.com\/de\/wp-json\/wp\/v2\/comments?post=145405"}],"version-history":[{"count":0,"href":"https:\/\/www.ninjaone.com\/de\/wp-json\/wp\/v2\/posts\/145405\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ninjaone.com\/de\/wp-json\/wp\/v2\/media\/362313"}],"wp:attachment":[{"href":"https:\/\/www.ninjaone.com\/de\/wp-json\/wp\/v2\/media?parent=145405"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ninjaone.com\/de\/wp-json\/wp\/v2\/categories?post=145405"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ninjaone.com\/de\/wp-json\/wp\/v2\/tags?post=145405"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}