Forum Clubic

Supprimer les comptes inactif de plus de trois mois dans l'active directory

Bonjour, j’aimerai savoir si quelqu’un connais un logiciel qui permet de supprimer les comptes AD inactif depuis un certain temps automatiquement ?

Merci pour les réponses :slight_smile:

Bonjour,

Personnellement je n’ai pas de logiciel particulier a te conseiller car dans ma boite nous utilisons essentiellement des scripts fait maison. Toutefois, voici quelques infos qui pourraient t’aider.

Nous ne supprimons pas automatiquement les comptes, en fait ce que nous faisons c’est un audit mensuel de l’ensemble des comptes.
Un script attribue une valeur a chaque compte en fonction de la date du dernier login (attention il faut comparer sur tout les DCs):
Dernier login de moins de 2 mois, entre 2 et 6 mois, de plus de 6 mois. Jamais connecté depuis moins de 2 mois, entre 2 et 6 mois, plus de 6 mois. Mot de passe n’expire jamais, …

Ceci permet selon les catégories de désactiver seulement ou de complètement supprimer les comptes.

La revue manuelle est un brin consommatrice de temps mais elle permet également de gérer les exceptions et surtout de garder des traces et documenter chaque actions sur les comptes (important dans les entreprises soumises aux audit SOX).

Le script qui génèrent ce rapport travaille avec les propriétés ADSI et il est aisé de faire des requêtes du même style avec la console AD Ordinateurs et Utilisateurs (requête personnalisée).

Il est bon de savoir qu’un compte qui n’est pas utilisé pour ouvrir une session interactive ne verra pas son attribut LastLogonDate mis a jour ce qui fait qu’il apparaitrait comme inactif alors qu’il sert quotidiennement, d’où l’intérêt de bien définir ses critère d’inactivité et les comptes traité (rangement en OU par exemple).

Ceci vaut bien évidemment quelque soit la méthode, script ou logiciel spécialisé.

Meme si tu ne maitrise pas ADSI, je te conseille les outils suivant (tous référencés MS):
ADSI Edit : composant mmc permettant de voir toutes les propriétés ADSI des objets
ADSIModify : outil en ligne de commande ou avec une interface graphique permettant de faire des modifications par lot (possibilité de retour arrière avec des fichier XML), .Net nécessaire.
ADSI Scriptomatic : outil d’aide à la génération de script

Koin-Koin

PS: je sais que ma réponse est un peu éloignée de ta question, mais si personne ne connais d’outil adapté au moins tu aura de quoi faire sans :wink:

Merci bien pour les infos, t’as réponse n’est pas si éloigné que ça, et ta méthode fera un gain de temps appréciable même si il faut faire un peu de recherche et se former.
En fait mon but est de virer de l’AD tout les pc qui ne se sont pas connecté depuis +6mois, car on a un parc de 180 machine normalement et qu’il en ressort environ 500 dans l’AD :s, c’est pas très propre.
Encore merci pour les infos je vais voire tout ça !!

++

Je pensais que tu parlais des comptes utilisateurs, toutes mes excuses.

La problématiques des comptes machines est effectivement bien plus difficile à gérer car un compte il sert ou il ne sert pas, une machine peut ne pas servir et pourtant être toujours quelque part dans un coin.

Le mieux pour avoir une AD propre c’est une convention de nommage strict et un suivit des immobilisation, mais c’est plus facile à dire qu’à mettre en œuvre. Et surtout faire respecter dans certains cas.

Pour faire le ménage, il est toujours possible de désactiver en masse les comptes machines considérés comme potentiellement périmés, ce qui permet en cas de soucis de tout de suite réactiver le ou les comptes désactivés à tort (pas besoin de sortir/réentrer la machine du domaine) et puis au delà d’une période à définir, suppression des comptes qui n’ont pas eu besoin d’être réactivé.

Encore une fois, ranger les comptes machines par OU permet de facilité le tri et d’identifier rapidement celles qui ont été mise de coté.

Koin-Koin

Un convention de nomage est déjà en place, sinon il y aurait plus de 2000 machines à trier.
Je crois que je vais être obligé à faire le tour des bureaux pour vérifier quelles machines a été renommé ou pas :s.
Tant pis merci pour ton aide !!

Pas grand chose à ajouter si ce n’est: bon courage :o(

Merci bien !! Je vais en avoir besoin :wink:
Bonne soirée
++

Bonsoir messieur :slight_smile:

J’ai exactement le mm problème dans la boite ou je boss

j’ai essayer AD janitor (google et ton amis) :slight_smile: peut être qu’il te conviendra

Mais pour moi le mieux reste le paluchage a la mains!! on ne sait jamais, un programme peut péter un boulon , et dans une AD sa peut faire mal.

Je pense aussi tout compte fait qu’il est plus prudent de faire ça à la main, surtout qu’ils ne vont pas m’embaucher en septembre si je leur pourris leur AD au service info.

Merci pour les infos, bonne soirée à vous deux !!

++