Active Directory安全提示 #3：计算机账户

Active Directory计算机账户应每年审查一次。老旧操作系统会阻碍安全进展，例如保持SMBv1和NTLMv1处于活动状态。应发现并禁用不再使用的非活跃计算机账户（最终需移除）。

OperatingSystem和PasswordLastSet属性含义明确，但我们可以使用代表计算机最后一次重启时间的LastLogonDate属性。默认情况下，计算机密码应每30天更改一次。我们可以关联PasswordLastSet和LastLogonDate属性值来判断计算机是否活跃。空白的LastLogonDate值表示该计算机对象仅为对象，未与实际系统关联。

计算机密码信息

PowerShell代码（使用Active Directory PowerShell模块）：

1
2
3

$Domain = $env:userdnsdomain
$DomainDC = (Get-ADDomainController -Discover -DomainName $Domain).Name
Get-ADComputer -filter * -Prop name,OperatingSystem,LastLogonDate,PasswordLastSet -Server $DomainDC | sort OperatingSystem | select name,OperatingSystem,LastLogonDate,PasswordLastSet