Comme vous le savez l'un des attributs qui nous est le plus important pour déterminer l'inactivité d'un compte est l'attribut "LastLogon", ce dernier permet de connaitre la dernière authentification valide d'un compte Active Directory.
Le problème c'est que ce dernier n'est pas répliqué entre les DCs, attention je parle bien du "LastLogon" et non le "LastLogonTimeStamp" qui lui l'est mais, ne détient pas la valeur réelle de la dernière authentification réussie.
Le "LastLogon" n'est pas répliqué entre les DCs pour une raison simple, éviter les "tempêtes" de réplication entre les DCs, imaginez, à chaque ouverture / déverrouillage de session cette valeur change, si vous pensez au nombre de fois que sont déverrouillées des sessions à la journée, cela vous donne une idée des réplications qui seraient nécessaires, par conséquent cet attribut n'est pas répliqué.
Ce qui pose donc problème c'est qu'il n'est pas possible d'avoir la réelle valeur de "LastLogon" sans devoir interroger l'intégralité des DCs et faire une comparaison de cette dernière.
Voici un script qui fera les requêtes et comparaisons pour vous, toutefois gardez à l'esprit qu'il va pour chaque utilisateur demander la valeur de l'ttribut "LastLogon" à chaque DC, par conséquent ce script peut prendre plus ou moins de temps à s'exécuter en fonction du nombre d'utilisateur et du nombre de DCs.
$Array = @()
$AllDC = Get-ADDomainController -Filter * | sort Name | select Name
$AllEnabledUsers = Get-ADUser -Filter {Enabled -eq $true} | select Samaccountname
$AllEnabledUsers | select -First 5 | foreach {
$CurrentUser = $_.Samaccountname
$RealLastLogon = $null
$AllDC | foreach {
$CurrentDC = $_.Name
Try {
$Logon = Get-ADUser $CurrentUser -Properties LastLogon -Server $CurrentDC
$LastLogon = [Datetime]::FromFileTime($Logon.LastLogon)
If ($LastLogon -gt $RealLastLogon) {
$RealLastLogon = $LastLogon
}
# Release variable
$LastLogon = $null
}
Catch {
Write-Warning $($_)
}
# Release variable
$CurrentDC = $null
}
# Store Data
$Array += New-Object psobject -Property @{
DistinguishedName = $Logon.DistinguishedName
Enabled = $Logon.Enabled
GivenName = $Logon.GivenName
Name = $Logon.Name
ObjectClass = $Logon.ObjectClass
ObjectGUID = $Logon.ObjectGUID
SamAccountName = $Logon.SamAccountName
SID = $Logon.SID
Surname = $Logon.Surname
UserPrincipalName = $Logon.UserPrincipalName
LastLogon = $RealLastLogon
}
# Release Variables
$CurrentUser = $null
$RealLastLogon = $null
}
Il ne vous restera qu'a examiner la sortie en rappelant la variable "$Array" ou à l'exporter dans un CSV comme ci-dessous par exemple.
$Array | Export-Csv C:\Temp\AllUsersWithLastLogon.csv -Delimiter ";" -Encoding UTF8 -NoTypeInformation
Si la valeur "LastLogon" est égale à "01/01/1601 01:00:00" cela veut dire que le compte ne s'est jamais connecté.