Ver destacados

Deshabilitar usuarios sin autenticarse X días Windows Server

Mejora la seguridad de tu dominio desactivando aquellos usuarios que llevan cierto tiempo sin iniciar sesión en Windows Server 2016.
Escrito por
21.5K Visitas  |  Publicado oct 31 2016 18:16
Favorito
Compartir
Comparte esta pagina a tus Amigos y Contactos usando las siguientes Redes Sociales


 

Dentro de nuestras organizaciones sin lugar a dudas existe una gran cantidad de usuarios que requieren de conexión constante tanto a los servicios del sistema como a las aplicaciones corporativas pero de la misma forma hay muchos usuarios que ya no inician sesión en el sistema y aún figuran activos y esto puede ser contraproducente en situaciones como:

  • Solicitud de reportes de personal activo.
  • Distribución de información como listas de distribución.
  • Temas de seguridad ya que una persona que conozca las credenciales de un usuario que figura como activo pero que no está ya trabajando puede ser una brecha de seguridad para la compañía.
  • Consumo de recursos

 

Sabemos que en ocasiones hay recorte de personal y no se informa al área de sistemas y por ello los usuarios siguen activos en el directorio activo y nosotros no nos enteramos de que ya no trabajan.

 

Existe una opción que podemos implementar en Windows Server 2016 a través de un script que nos permitirá deshabilitar, de forma automática, aquellos usuarios que no se han autenticado o iniciado deshabilitar usuarios sesión en el dominio en un periodo determinado de tiempo.

 

Por ejemplo, el usuario Solvetic 2 se retiró de la compañía el día 30 de abril del 2016 y el área de sistemas aún no ha sido notificado de la novedad por lo cual se sigue enviando información y habilitándolo para el uso de diversas aplicaciones de la compañía. Si nunca llega la notificación esto puede seguir corriendo años, pero con esta alternativa que te proponemos el sistema detecta que el usuario Solvetic 2 no ha realizado login en 60 días de manera automática, lo deshabilita del sistema.

 

 

Deshabilitar usuarios que hace tiempo que no inician sesión en Windows Server


Paso 1

El script que hemos mencionado antes podemos descargarlo a continuación en un comprimido .zip.

 

Disable Users not login 60 days.zip   615 bytes   2075 Descargas

 

 

Paso 3

Podemos distinguir en el script las siguientes variables:

 

SamAccountName, LastLogon y LastLogin
Esta variable nos permite buscar el nombre de usuario usando el valor SamAccountName, y notemos que las variables LastLogon y LastLogin tiene añadido una conversión de tiempo ya que cuando generamos nuestros reportes este valor está en formato de tiempo.

 

GetDate
En la variable GetDate indicamos la cantidad de días que debe ser deshabilitado el usuario cuando no se ha demostrado que ha iniciado ningún login.

 

Get-ADDomain
Con la variable Get-ADDomain sacaremos el nombre de nuestro dominio para que la consulta esté basada en los equipos del directorio activo de nuestra organización.

 

OU=”OU=Disabled”
Con la variable OU=”OU=Disabled” crearemos una unidad organizativa donde se almacenarán los objetos, como usuarios , que serán deshabilitados. Posteriormente se crearán OUs, si no existen, para los usuarios que serán deshabilitados a través del script.

 

Finalmente la tarea del script es analizar los usuarios que no han demostrado inicio de sesión en el tiempo estipulado y se moverá según el tipo de objeto (Usuario).

 

Paso 4

Cuando ejecutemos el script nos daremos cuenta que se ejecutan todos los parámetros de forma normal.

 

 

Paso 5

Podemos ver si nos dirigimos a Usuarios y equipos de Active Directory que se han creado las OU indicadas en el script y se ha deshabilitado el usuario Solvetic 2 el cual no iniciaba sesión dentro del rango indicado.

 

 

Como vemos podemos usar este script para automatizar esta tarea de desactivar los usuarios que no están activos, ya que no siempre tendremos la información de parte de RRHH. De esta forma podremos tener acceso a información sobre qué usuarios llevan tiempo sin conectarse a Windows Server y ya no necesitan estar presentes.

 

Esto nos dará una pista sobre usuarios que ya no se usan y podrás deshabilitarlos automáticamente. Si quieres tener información sobre aquellas cuentas dentro de Windows Server que están inactivas, aquí sabrás cómo hacerlo.

 

¿Te ayudó este Tutorial?

Ayuda a mejorar este Tutorial!
¿Quieres ayudarnos a mejorar este tutorial más? Puedes enviar tu Revisión con los cambios que considere útiles. Ya hay 0 usuario que han contribuido en este tutorial al enviar sus Revisiones. ¡Puedes ser el próximo!