Active Directory安全提示 #3：计算机账户

Active Directory计算机账户应每年审查一次。老旧操作系统可能会阻碍安全进展，比如保持SMBv1和NTLMv1处于活动状态。当计算机不再使用时，应发现并禁用非活跃计算机账户（最终将其移除）。

OperatingSystem和PasswordLastSet属性含义明确，但我们可以使用LastLogonDate属性来表示计算机的最后重启时间。默认情况下，计算机密码应每30天更改一次。我们可以关联PasswordLastSet和LastLogonDate属性值来确定计算机是否处于活动状态。空白的LastLogonDate值意味着该计算机对象仅是一个对象，并未与实际的系统关联。

计算机密码信息

PowerShell代码（使用Active Directory PowerShell模块）：

1
2
3

$Domain = $env:userdnsdomain
$DomainDC = (Get-ADDomainController -Discover -DomainName $Domain).Name
Get-ADComputer -filter * -Prop name,OperatingSystem,LastLogonDate,PasswordLastSet -Server $DomainDC | sort OperatingSystem | select name,OperatingSystem,LastLogonDate,PasswordLastSet