{"id":149946,"date":"2023-07-27T15:02:05","date_gmt":"2023-07-27T15:02:05","guid":{"rendered":"https:\/\/www.ninjaone.com\/blog\/rensa-active-directory-ad\/"},"modified":"2025-06-20T14:09:12","modified_gmt":"2025-06-20T14:09:12","slug":"rensa-active-directory-ad","status":"publish","type":"post","link":"https:\/\/www.ninjaone.com\/sv\/blog\/rensa-active-directory-ad\/","title":{"rendered":"3 s\u00e4tt att h\u00e5lla Active Directory (AD) rent"},"content":{"rendered":"

[av_textblock size=” av-medium-font-size=” av-small-font-size=” av-mini-font-size=” font_color=” color=” id=” custom_class=” template_class=” av_uid=’av-lkqz9won’ sc_version=’1.0′ admin_preview_bg=”]
\nActive Directory (AD) \u00e4r en av de IT-produkter som tenderar att bli uppbl\u00e5sta. Det \u00e4r en IT-produkt som m\u00e5nga m\u00e4nniskor g\u00f6r \u00e4ndringar i varje dag och som i slut\u00e4ndan blir en enorm h\u00f6g med saker som p\u00e5 n\u00e5got s\u00e4tt fortfarande fungerar. \u00c4ven den mest v\u00e4lmenande IT-avdelning verkar alltid hamna i en Active Directory-milj\u00f6 med massor av anv\u00e4ndarkonton som inte l\u00e4ngre beh\u00f6vs, GPO:er som \u00e4r kopplade till OU:er som folk inte ens visste fanns och datorkonton som representerade datorer som sedan l\u00e4nge \u00e4r borta. Detta tillst\u00e5nd verkar smyga sig p\u00e5 m\u00e4nniskor. En dag s\u00e4tter sig n\u00e5gon framf\u00f6r Active Directory (AD) Users and Computers (ADUC) och f\u00e5r en k\u00e4nsla av att ”Wow! Detta m\u00e5ste \u00e5tg\u00e4rdas.”. N\u00e4r n\u00e5gon i din organisation v\u00e4l f\u00e5r det \u00f6gonblicket kommer det f\u00f6rmodligen att bli en skr\u00e4mmande och \u00f6verv\u00e4ldigande uppgift. Du kanske startar ett projekt f\u00f6r att ”rensa upp” men du kommer snart att uppt\u00e4cka att det inte r\u00e4cker med att h\u00f6gerklicka och radera. Det finns m\u00e5nga s\u00e4tt att g\u00f6ra detta projekt till en framg\u00e5ng, och den f\u00f6rsta uppgiften \u00e4r att definiera vad ”sanering” inneb\u00e4r. I den h\u00e4r artikeln ska vi fokusera p\u00e5 oanv\u00e4nda anv\u00e4ndarkonton. Mer specifikt kommer vi att fokusera p\u00e5 tre attribut som ett anv\u00e4ndarkonto kan ha som g\u00f6r att det anses ”raderbart” Dessa attribut \u00e4r inaktiverade konton, konton som inte har anv\u00e4nts p\u00e5 X dagar och konton med utg\u00e5ngna l\u00f6senord.<\/p>\n

<\/p>\n

Ett av de enklaste s\u00e4tten att hitta dessa potentiellt oanv\u00e4nda konton \u00e4r att anv\u00e4nda PowerShell. ActiveDirectory PowerShell \u00e4r en modul som inneh\u00e5ller en mycket anv\u00e4ndbar cmdlet som heter Search-AdAccount som g\u00f6r det enkelt att skapa fr\u00e5gor och returnera exakt det vi beh\u00f6ver. Innan du kan anv\u00e4nda denna cmdlet m\u00e5ste du dock h\u00e4mta RSAT-paketet (Remote Server Administration Tools) fr\u00e5n Microsoft. N\u00e4r det paketet \u00e4r installerat b\u00f6r du ha ActiveDirectory-modulen, och du \u00e4r redo att k\u00f6ra! F\u00f6r att n\u00e5gon av nedanst\u00e5ende koder ska fungera f\u00f6ruts\u00e4tter jag att du anv\u00e4nder en Windows-dator som \u00e4r dom\u00e4nansluten till samma dom\u00e4n som de anv\u00e4ndare du vill hitta. Med det sagt, l\u00e5t oss s\u00e4tta ig\u00e5ng! Den f\u00f6rsta uppgiften \u00e4r att hitta funktionshindrade konton. F\u00f6r att hitta inaktiverade konton anv\u00e4nder vi cmdlet Search-ADAccount. Denna cmdlet har en enda parameter som heter Disabled som g\u00f6r denna uppgift enkel. K\u00f6r bara Search-AdAccount -AccountDisabled och vips visas alla dina inaktiverade konton. Observera att jag anv\u00e4nde parametern UsersOnly eftersom den h\u00e4r cmdletten \u00e4ven kan hitta inaktiverade datorkonton.<\/p>\n

C:> Search-ADAccount -UsersOnly -AccountDisabled -Server dc<\/em><\/p>\n

AccountExpirationDate :
\nDistinguishedName : CN=Guest,CN=Users,DC=mylab,DC=local
\nAktiverad : Falsk
\nLastLogonDate :
\nLockedOut :
\nFalskt namn : G\u00e4st
\nObjektKlass : anv\u00e4ndare
\nObjektGUID : 89cfaf2b-c6d8-4ae0-a720-e2da7d201717
\nPasswordExpired : Falskt
\nPasswordNeverExpires : Sant
\nSamAccountName : G\u00e4st
\nSID : S-1-5-21-4117810001-3432493942-696130396-501
\nUserPrincipalName :
\n…………<\/p>\n

En annan vanlig misst\u00e4nkt att rensa upp \u00e4r inaktiva anv\u00e4ndarkonton och \u00e4r lite sv\u00e5rare att sp\u00e5ra. ”Inaktiv” \u00e4r en subjektiv term s\u00e5 f\u00f6r v\u00e5ra syften kommer vi att definiera ”inaktiv” som alla anv\u00e4ndare som har ett v\u00e4rde f\u00f6r LastLogonTimeStemp som \u00e4r \u00e4ldre \u00e4n 30 dagar. Det finns m\u00e5nga artiklar p\u00e5 Internet om hur man hittar inaktiva anv\u00e4ndare, men m\u00e5nga inser inte att det \u00e4r mycket enklare \u00e4n att bygga komplicerade AD LDAP-filter. St\u00f6det \u00e4r inbyggt i Search-AdAccount. Vi kan anv\u00e4nda Search-AdAccount -AccountInactive -UsersOnly -Timespan 30.00:00:00 f\u00f6r att omedelbart hitta alla AD-anv\u00e4ndarkonton som inte har anv\u00e4nts p\u00e5 30 dagar. Det finns dock ett f\u00f6rbeh\u00e5ll. Microsoft uppdaterar bara attributet LastLogonTimestamp, som \u00e4r detsamma som LastLogonDate, var 14:e dag f\u00f6r att f\u00f6rhindra replikeringsstormar. P\u00e5 grund av denna egenskap hos AD kommer den h\u00e4r metoden (eller till och med Get-AdUser eller Get-AdComputer med det avancerade filtret) inte att vara helt korrekt om du f\u00f6rs\u00f6ker f\u00e5 fram konton med inaktivitet som \u00e4r \u00e4ldre \u00e4n 14 dagar. S\u00e5 var f\u00f6rsiktig. Slutligen m\u00e5ste vi hitta alla AD-anv\u00e4ndare som har ett utg\u00e5nget l\u00f6senord som inte l\u00e4ngre beh\u00f6vs. Det h\u00e4r \u00e4r knepigt eftersom ”aktiva” anv\u00e4ndarkonton kan ha ett l\u00f6senord som har g\u00e5tt ut om det nyligen har g\u00e5tt ut. Jag beh\u00f6ver inte bara hitta utg\u00e5ngna l\u00f6senord utan \u00e4ven hur l\u00e4nge sedan det var de gick ut. Om de gick ut f\u00f6r t.ex. 30 dagar sedan eller l\u00e4ngre sedan kan jag anta att dessa anv\u00e4ndarkonton i sj\u00e4lva verket \u00e4r inaktiva. F\u00f6r att ta reda p\u00e5 hur l\u00e4nge sedan ett l\u00f6senord l\u00f6pte ut m\u00e5ste jag f\u00f6rst ta reda p\u00e5 den maximala l\u00f6senords\u00e5ldern f\u00f6r dom\u00e4nens l\u00f6senordspolicy. Jag kan g\u00f6ra detta med Get-AdDefaultDomainPasswordPolicy cmdlet. $MaxPasswordAge = (Get-ADDefaultDomainPasswordPolicy).MaxPasswordAge.Days<\/em> D\u00e4refter kan jag hitta alla anv\u00e4ndarkonton som har ett utg\u00e5nget l\u00f6senord och sedan filtrera dessa anv\u00e4ndarkonton genom att se n\u00e4r deras l\u00f6senord senast angavs och se till att det var f\u00f6re den maximala tiden som l\u00f6senordet kunde vara plus 30 (hur gammalt jag definierar att kontot ska vara). Koden kommer att se ut ungef\u00e4r s\u00e5 h\u00e4r: Search-AdAccount -PasswordExpired -UsersOnly | Where-Object {((Get-Date) – (Get-AdUser -Filter ”samAccountName -eq $_.SamAccountName”).PasswordLastSet) -lt ($MaxPasswordAge + 30)}<\/em> N\u00e4sta g\u00e5ng du s\u00f6ker efter inaktiva poster i AD b\u00f6r du titta p\u00e5 Search-AdAccount f\u00f6r att se om det redan g\u00f6r det du f\u00f6rs\u00f6ker g\u00f6ra. Det kan spara dig massor av tid! Adam Bertram \u00e4r Microsoft Windows Cloud and Datacenter Management MVP och har f\u00f6rfattat flera utbildningskurser, medverkar regelbundet i flera tryckta och online-publikationer och presenterar vid olika anv\u00e4ndargrupper och konferenser. Du hittar Adam p\u00e5 adamtheautomator.com eller p\u00e5 Twitter p\u00e5 @adbertram.<\/em> \"\"
\n[\/av_textblock]<\/p>\n","protected":false},"excerpt":{"rendered":"

[av_textblock size=” av-medium-font-size=” av-small-font-size=” av-mini-font-size=” font_color=” color=” id=” custom_class=” template_class=” av_uid=’av-lkqz9won’ sc_version=’1.0′ admin_preview_bg=”] Active Directory (AD) \u00e4r en av de IT-produkter som tenderar att bli uppbl\u00e5sta. Det \u00e4r en IT-produkt som m\u00e5nga m\u00e4nniskor g\u00f6r \u00e4ndringar i varje dag och som i slut\u00e4ndan blir en enorm h\u00f6g med saker som p\u00e5 n\u00e5got s\u00e4tt fortfarande fungerar. \u00c4ven […]<\/p>\n","protected":false},"author":9,"featured_media":362318,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"_relevanssi_hide_post":"","_relevanssi_hide_content":"","_relevanssi_pin_for_all":"","_relevanssi_pin_keywords":"","_relevanssi_unpin_keywords":"","_relevanssi_related_keywords":"","_relevanssi_related_include_ids":"","_relevanssi_related_exclude_ids":"","_relevanssi_related_no_append":"","_relevanssi_related_not_related":"","_relevanssi_related_posts":"","_relevanssi_noindex_reason":"","_lmt_disableupdate":"","_lmt_disable":"","footnotes":""},"categories":[4353,3113],"tags":[],"class_list":["post-149946","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-it-drift","category-rmm-sv"],"acf":[],"modified_by":null,"_links":{"self":[{"href":"https:\/\/www.ninjaone.com\/sv\/wp-json\/wp\/v2\/posts\/149946","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ninjaone.com\/sv\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ninjaone.com\/sv\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ninjaone.com\/sv\/wp-json\/wp\/v2\/users\/9"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ninjaone.com\/sv\/wp-json\/wp\/v2\/comments?post=149946"}],"version-history":[{"count":0,"href":"https:\/\/www.ninjaone.com\/sv\/wp-json\/wp\/v2\/posts\/149946\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ninjaone.com\/sv\/wp-json\/wp\/v2\/media\/362318"}],"wp:attachment":[{"href":"https:\/\/www.ninjaone.com\/sv\/wp-json\/wp\/v2\/media?parent=149946"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ninjaone.com\/sv\/wp-json\/wp\/v2\/categories?post=149946"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ninjaone.com\/sv\/wp-json\/wp\/v2\/tags?post=149946"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}