Les administrateurs d’Active Directory sont très conscients des menaces de sécurité que représentent les comptes d’ordinateurs et d’utilisateurs inactifs. Lorsque les comptes AD ne sont pas utilisés pendant de longues périodes, ils doivent être désactivés puis supprimés. La plupart des organisations ont une politique bien définie pour traiter ces comptes obsolètes.
En fonction de la situation qui prévaut dans l’organisation, on peut décider de la période d’inactivité maximale qui peut être autorisée pour les comptes AD. Après cette période, les comptes d’ordinateurs et d’utilisateurs peuvent être considérés comme inactifs. Il est recommandé de se renseigner d’abord sur tous les comptes inactifs. Ces comptes peuvent être désactivés après les avoir tous déplacés vers une seule OU. Après une certaine période, ils peuvent être supprimés définitivement.
La recherche de comptes inactifs, leur désactivation ou leur suppression peuvent être effectuées à l’aide de l’invite de commande, en utilisant l’outil Dsquery.
L’outil de ligne de commande dsquery recherche les objets AD selon les critères spécifiés. On peut l’utiliser pour trouver les utilisateurs et les ordinateurs inactifs dans le répertoire actif. Les résultats de la recherche peuvent être donnés en entrée aux lignes de commande dsmod et dsrm pour la désactivation et la suppression. Changez simplement computer par user pour obtenir les mêmes commandes pour supprimer les utilisateurs.
Ouvrir l’invite de commande
Ouvrez le menu Démarrer, cliquez avec le bouton droit de la souris sur l’invite de commande, puis cliquez sur Exécuter en tant qu’administrateur.
Trouver les ordinateurs/utilisateurs qui sont inactifs
Pour trouver les ordinateurs/utilisateurs qui sont inactifs pendant 12 semaines et limiter les résultats à 100, tapez :
dsquery computer -inactive 12 -limit 100
Désactiver les ordinateurs/utilisateurs inactifs
Pour désactiver les ordinateurs/utilisateurs inactifs, exécutez :
dsquery computer -inactive 12 | dsmod ordinateur -disabled yes
Trouver les ordinateurs/utilisateurs désactivés et les supprimer
Pour trouver les ordinateurs/utilisateurs désactivés et les supprimer, exécutez :
dsquery computer -disabled | dsrm -noprompt
Note : lors de l’utilisation de –noprompt, aucune confirmation ne vous sera demandée avant la suppression.
Supprimer les ordinateurs/utilisateurs
Au lieu de désactiver d’abord les ordinateurs/utilisateurs inactifs, on peut les supprimer directement en exécutant :
dsquery computer -inactive 12 | dsrm -noprompt
Avec cet outil, on peut facilement trouver des ordinateurs inactifs ainsi que des comptes d’utilisateurs de l’Active Directory. Ces comptes peuvent être désactivés et supprimés conformément à la politique de l’organisation. Ils peuvent également être supprimés directement.