Lorsque les employés quittent les entreprises, leurs comptes utilisateurs restent souvent dans l'Active Directory sans attirer beaucoup l'attention. Les mots de passe de ces comptes demeurent inchangés lorsqu'ils ne sont plus utilisés, ce qui pourrait compromettre la sécurité. Pour une sûreté optimale, les entreprises devraient toujours s'assurer que les comptes d'utilisateurs inactifs ou obsolètes sont protégés ou, mieux encore, supprimés.

Microsoft permet aux administrateurs de retrouver les utilisateurs inactifs grâce à la fonction Requêtes enregistrées de l'outil natif 'Utilisateurs et Ordinateurs Active Directory' (ADUC). Les administrateurs peuvent créer une requête sauvegardée et définir la période d'inactivité des utilisateurs en fonction du nombre de jours écoulés depuis la dernière connexion, comme le montre la Figure 1.

Figure 1. Requête enregistrée par Microsoft pour lister les utilisateurs inactifs.

A partir de la liste des utilisateurs inactifs obtenue, les administrateurs peuvent effectuer des tâches telles que Désactiver le compte, Réinitialiser le compte et Déplacer pour les utilisateurs individuels. Toutefois, les tâches que vous pouvez effectuer pour la modification en masse des utilisateurs sont limitées. Voir la Figure 2 ci-dessous. Il n'y a pas non plus de moyen d'automatiser la génération de rapports ou de programmer leur envoi vers une messagerie.

Figure 2. Actions qui peuvent être effectuées sur les comptes d'utilisateurs inactifs à l'aide des outils natifs.

Une solution idéale permettrait aux administrateurs de :

• Générer le rapport des utilisateurs inactifs sur les utilisateurs qui ne se sont pas connectés pendant un nombre de jours spécifique. Voir la figure 3.
• Exporter les rapports dans des formats faciles à utiliser vers les administrateurs ou les gestionnaires qui doivent prendre des mesures appropriées, y compris la désactivation, le déplacement et la suppression d'utilisateurs. Voir la Figure 4.
• Planifier la génération automatique de rapports sur une base quotidienne ou hebdomadaire, et les envoyer vers une messagerie électronique.
• Automatiser les tâches de routine ; vous devriez pouvoir configurer une stratégie qui récupérera les comptes d'utilisateurs inactifs à partir du rapport Utilisateurs inactifs et les déplacera automatiquement vers une OU distincte où ils seront désactivés puis supprimés à la fin du mois. Voir la figure 5.

Figure 3. Génération du rapport sur les utilisateurs inactifs dans ADManager Plus.

Malheureusement, l'ADUC ne peut pas vous aider pour toutes les tâches mentionnées ci-dessus. Mais ADManager Plus le peut. En utilisant ADManager, les administrateurs peuvent effectuer des actions sur plusieurs comptes d'utilisateur à la fois, directement à partir du rapport, au lieu d'effectuer la même action plusieurs fois pour chaque compte d'utilisateur individuel. Les administrateurs peuvent également réinitialiser les mots de passe de plusieurs utilisateurs en même temps à partir du rapport. En planifiant et en automatisant le nettoyage des utilisateurs inactifs, les administrateurs peuvent se concentrer sur des tâches plus importantes.

Figure 4. Modification en masse des comptes d'utilisateurs dans ADManager Plus.

Figure 5. Configuration d'une stratégie d'automatisation dans ADManager Plus.

Résumé

Microsoft n'offre pas de moyen automatisé pour nettoyer les comptes périmés dans AD. Mais en utilisant ADManager Plus, vous pouvez automatiser des tâches de routine cruciales comme la suppression des comptes d'utilisateurs inactifs. Vous pouvez également configurer une séquence de tâches à exécuter selon un calendrier spécifique.

Téléchargez une version d'essai gratuite de 30 jours d'ADManager Plus pour découvrir son fonctionnement dans votre environnement.