I mit tidligere arbejde, har jeg i forbindelse med audit gået efter følgende indikatorer:
- Er brugerne låst ude eller deaktiveret
- Er password skiftet inden for company policy (ofte 60-90 dage), er der i øvrigt brugere uden udløb på password osv.
- Hvornår har brugerne sidst været logget ind.
Da der ofte er flere DC'er kørende, blev der anvendt et script til at forespørge samtlige DC'er (last login gælder reelt kun for den enkelte DC). F.eks:
http://www.rlmueller.net/Last%20Logon.htm- Udtræk fra brugere blev analyseret og gennemgået med systemejer, samt sammenlignet med udtræk fra HR.
Hvis ovenstående er svært at foretage, så skyldes det ofte løse eller ingen processer eller politikker for brugerstyring.
Så kan det være en god idé at få etableret processer eller politikker, samt ryddet op i AD'et.