Windows Server

Mithilfe des Active Directory PowerShell Moduls können längere Zeit unbenutze Benutzer- und Computerobjekte angezeigt werden. Die Abfrage bezieht sich dabei auf den „LastLogon“ Zeitstempel und nicht das „Disabled“-Flag.

Mit der Abfrage können zum Beispiel Accounts identifiziert werden, deren letzte Anmeldung 90 Tage oder länger zurückliegt, um diese anschließend zu deaktivieren.

PowerShell

Search-ADAccount -UsersOnly -AccountInactive -TimeSpan 90

DSQuery

Steht PowerShell nicht zur Verfügung kann, dann kann die Abfrage auch über dsquery.exe ausgeführt werden:

dsquery user -inactive 90

Natürlich können die gefundenen Accounts mittels dsmod.exe auch gleich deaktiviert werden:

dsquery user -inactive 90 | dsmod user -disabled yes