Dentro de nuestras organizaciones sin lugar a dudas existe una gran cantidad de usuarios que requieren de conexión constante tanto a los servicios del sistema como a las aplicaciones corporativas pero de la misma forma hay muchos usuarios que ya no inician sesión en el sistema y aún figuran activos y esto puede ser contraproducente en situaciones como:
- Solicitud de reportes de personal activo.
- Distribución de información como listas de distribución.
- Temas de seguridad ya que una persona que conozca las credenciales de un usuario que figura como activo pero que no está ya trabajando puede ser una brecha de seguridad para la compañía.
- Consumo de recursos
Sabemos que en ocasiones hay recorte de personal y no se informa al área de sistemas y por ello los usuarios siguen activos en el directorio activo y nosotros no nos enteramos de que ya no trabajan.
Existe una opción que podemos implementar en Windows Server 2016 a través de un script que nos permitirá deshabilitar, de forma automática, aquellos usuarios que no se han autenticado o iniciado deshabilitar usuarios sesión en el dominio en un periodo determinado de tiempo.
Por ejemplo, el usuario Solvetic 2 se retiró de la compañía el día 30 de abril del 2016 y el área de sistemas aún no ha sido notificado de la novedad por lo cual se sigue enviando información y habilitándolo para el uso de diversas aplicaciones de la compañía. Si nunca llega la notificación esto puede seguir corriendo años, pero con esta alternativa que te proponemos el sistema detecta que el usuario Solvetic 2 no ha realizado login en 60 días de manera automática, lo deshabilita del sistema.
Deshabilitar usuarios que hace tiempo que no inician sesión en Windows Server
El script que hemos mencionado antes podemos descargarlo a continuación en un comprimido .zip.
Disable Users not login 60 days.zip 615 bytes 2075 Descargas
Podemos distinguir en el script las siguientes variables:
Finalmente la tarea del script es analizar los usuarios que no han demostrado inicio de sesión en el tiempo estipulado y se moverá según el tipo de objeto (Usuario).
Cuando ejecutemos el script nos daremos cuenta que se ejecutan todos los parámetros de forma normal.
Podemos ver si nos dirigimos a Usuarios y equipos de Active Directory que se han creado las OU indicadas en el script y se ha deshabilitado el usuario Solvetic 2 el cual no iniciaba sesión dentro del rango indicado.
Como vemos podemos usar este script para automatizar esta tarea de desactivar los usuarios que no están activos, ya que no siempre tendremos la información de parte de RRHH. De esta forma podremos tener acceso a información sobre qué usuarios llevan tiempo sin conectarse a Windows Server y ya no necesitan estar presentes.
Esto nos dará una pista sobre usuarios que ya no se usan y podrás deshabilitarlos automáticamente. Si quieres tener información sobre aquellas cuentas dentro de Windows Server que están inactivas, aquí sabrás cómo hacerlo.