Mithilfe des Active Directory PowerShell Moduls können längere Zeit unbenutze Benutzer- und Computerobjekte angezeigt werden. Die Abfrage bezieht sich dabei auf den “LastLogon” Zeitstempel und nicht das “Disabled”-Flag.
Mit der Abfrage können zum Beispiel Accounts identifiziert werden, deren letzte Anmeldung 90 Tage oder länger zurückliegt, um diese anschließend zu deaktivieren.
PowerShell
Search-ADAccount -UsersOnly -AccountInactive -TimeSpan 90DsQuery
Steht PowerShell nicht zur Verfügung kann, dann kann die Abfrage auch über dsquery.exe ausgeführt werden:
dsquery user -inactive 90Natürlich können die gefundenen Accounts mittels dsmod.exe auch gleich deaktiviert werden:
dsquery user -inactive 90 | dsmod user -disabled yes