Während einer IT Prüfung schaut man sich auch gerne das Usermanagement an. Neben Berechtigungen schaue ich mir auch gerne den generellen Umgang mit Benutzerkonten nicht nur im Finanzbuchhaltungssystem an, sondern auch gerne im AD. Hierfür habe ich mir mittlerweile ein- wie ich finde- ordentliches Skript erarbeitet.

Hierfür muss man in der AD- Powershell folgenden Befehl absetzen:

Get-ADUser -filter * -properties distinguishedName, userPrincipalName, passwordlastset, passwordneverexpires,LastLogonDate, PasswordNotRequired, CannotChangePassword, LockedOut, msDS-PSOAppliesTo, msNPAllowDialin, userAccountControl | sort-object name | select-object Name, distinguishedName, userPrincipalName, passwordlastset, passwordneverexpires, lastlogondate, PasswordNotRequired, CannotChangePassword, LockedOut, msDS-PSOAppliesTo, msNPAllowDialin, userAccountControl | Export-csv -path C:\temp\Users.csv -encoding default -delimiter „;“ -NoTypeInformation

Als Ergebnis (Textdatei Users.txt wird in C:\temp\ abgelegt) bekommt man einen Export aller User aus dem Active Directory mit den folgenden Parametern:
passwordlastset – Wann wurde zuletzt das Passwort geändert?
passwordneverexpires – Läuft das Kennwort ab?
LastLogonDate – letztes Anmeldedatum
PasswordNotRequired – Wird überhaupt ein Passwort benötigt
CannotChangePassword – Kann der User überhaupt das Passwort ändern?
LockedOut – Ist das Konto gesperrt?
userAccountControl – Ist das Konto aktiviert / deaktiviert?

Der Parameter „userAccountControl“ wirft allerdings nur Zahlen, die man wieder interpretieren muss. Im Technet findet man die Lösung:
https://social.technet.microsoft.com/Forums/en-US/69211f96-b17e-43aa-9a6a-4f8e99ae2b3a/useraccountcontrol-and-employeestatus?forum=ilm2>

512 Enabled Account
514 Disabled Account
544 Enabled, Password Not Required
546 Disabled, Password Not Required
66048 Enabled, Password Doesn’t Expire
66050 Disabled, Password Doesn’t Expire
66080 Enabled, Password Doesn’t Expire & Not Required
66082 Disabled, Password Doesn’t Expire & Not Required
262656 Enabled, Smartcard Required
262658 Disabled, Smartcard Required
262688 Enabled, Smartcard Required, Password Not Required
262690 Disabled, Smartcard Required, Password Not Required
328192 Enabled, Smartcard Required, Password Doesn’t Expire
328194 Disabled, Smartcard Required, Password Doesn’t Expire
328224 Enabled, Smartcard Required, Password Doesn’t Expire & Not Required
328226 Disabled, Smartcard Required, Password Doesn’t Expire & Not Required

Die Textdatei lässt dich gut in Excel importieren und dann dort filtern. Dabei kommen dann immer Fragen auf, die man mit dem Verantwortlichen klären muss.
z.B. Warum gibt es eine Anzahl von Benutzern, die sich schon lange nicht angemeldet haben? Warum haben Benutzer, obwohl es eine Richtlinie für Passwortänderungen gibt, ihr Kennwort nicht ändern müssen? Warum sind ausgeschiedene Benutzer nicht gesperrt?

#Update 14.03.2019

Formatierung, ANSI- Export und Einwahlproperty hinzugefügt