Natuurlijk! Hier is een uitleg over het script en enkele suggesties voor verbetering en beveiliging: **Huidig script:** ```powershell Get-ADUser -Filter * -Properties LastLogonDate ``` **Wat doet dit script?** Het haalt alle Active Directory-gebruikers op en voegt de property `LastLogonDate` toe, zodat je kunt zien wanneer gebruikers voor het laatst ingelogd waren. --- ### Verbeteringen en uitbreidingen: 1. **Filteren op actieve gebruikers:** Beperk het resultaat tot actieve accounts om overzicht te behouden. Bijvoorbeeld: ```powershell Get-ADUser -Filter {Enabled -eq $true} -Properties LastLogonDate ``` 2. **Exporteren naar CSV:** Voor rapportages kun je de gegevens exporteren: ```powershell Get-ADUser -Filter {Enabled -eq $true} -Properties LastLogonDate | Select-Object Name, SamAccountName, LastLogonDate | Export-Csv -Path "LastLogonReport.csv" -NoTypeInformation ``` 3. **Gebruikers inactief identificeren:** Je kunt inactieve gebruikers vinden door te filteren op `LastLogonDate`, bijvoorbeeld gebruikers die langer dan 90 dagen niet hebben ingelogd: ```powershell $threshold = (Get-Date).AddDays(-90) Get-ADUser -Filter {Enabled -eq $true} -Properties LastLogonDate | Where-Object { $_.LastLogonDate -lt $threshold } | Select-Object Name, SamAccountName, LastLogonDate ``` 4. **Gebruik van `LastLogonTimestamp` i.p.v. `LastLogonDate`:** `LastLogonTimestamp` is minder accuraat, maar wel efficiënter voor grote omgevingen. Overweeg dit indien precisie minder kritisch is. --- ### Beveiligingsmaatregelen en beste praktijken: - **Uitvoeren met de juiste rechten:** Zorg dat het script wordt uitgevoerd door een account met voldoende rechten, maar niet meer dan nodig. Bijvoorbeeld, een beheerdersaccount met minimale privileges. - **Scriptbeveiliging:** Voorkom dat het script per ongeluk wordt gewijzigd of misbruikt door het op een beveiligde locatie te bewaren en toegangsrechten goed in te stellen. - **Logging en auditing:** Voeg logging toe om te registreren wanneer het script wordt uitgevoerd en welke gegevens worden geraadpleegd of gewijzigd. - **Gebruik van beveiligde verbindingen:** Bij gebruik van PowerShell Remoting of externe verbindingen, zorg dat deze via SSL/TLS lopen. - **Automatisering met planning:** Gebruik Windows Taakplanner om scripts automatisch op vaste tijden uit te voeren, en beperk de uitvoering tot specifieke accounts. --- ### Voorbeeld van een verbeterd, compleet script: ```powershell # Definieer drempel voor inactiviteit (bijvoorbeeld 90 dagen) $threshold = (Get-Date).AddDays(-90) # Haal inactieve actieve gebruikers op $InactieveGebruikers = Get-ADUser -Filter {Enabled -eq $true} -Properties LastLogonDate | Where-Object { $_.LastLogonDate -lt $threshold -or $_.LastLogonDate -eq $null } | Select-Object Name, SamAccountName, LastLogonDate # Exporteer naar CSV $InactieveGebruikers | Export-Csv -Path "InactieveGebruikers.csv" -NoTypeInformation # Log het resultaat Write-Output "Inactieve gebruikersrapport gegenereerd: $(Get-Date)" ``` --- Mocht je meer specifieke taken willen automatiseren of hulp nodig hebben bij het schrijven van scripts, laat het gerust weten!

Zeker, ik help je graag verder. Hieronder vind je een gedetailleerde uitleg, verbeteringen en beveiligingsmaatregelen voor je PowerShell-script. ### Basis Script: Gebruikers ophalen met laatste aanmelddatum ```powershell # Basiscommando om alle AD-gebruikers met laatste aanmelddatum op te halen Get-ADUser -Filter * -Properties LastLogonDate | Select-Object Name, SamAccountName, LastLogonDate, Enabled | Sort-Object LastLogonDate -Descending ``` ### Verbeteringen en Uitbreidingen: 1. **Filteren op inactieve gebruikers** (bijv. >90 dagen niet ingelogd): ```powershell $InactiveDays = 90 $CutoffDate = (Get-Date).AddDays(-$InactiveDays) Get-ADUser -Filter {Enabled -eq $true} -Properties LastLogonDate | Where-Object {$_.LastLogonDate -lt $CutoffDate -or $_.LastLogonDate -eq $null} | Select-Object Name, SamAccountName, LastLogonDate, @{Name="DaysInactive";Expression={((Get-Date) - $_.LastLogonDate).Days}} | Sort-Object LastLogonDate | Export-Csv -Path "C:\Reports\InactiveUsers.csv" -NoTypeInformation -Encoding UTF8 ``` 2. **Uitgebreide monitoring met e-mailnotificatie**: ```powershell # Vereist: Configureer SMTP-instellingen $SMTPConfig = @{ SmtpServer = "smtp.jouwdomain.nl" Port = 587 UseSSL = $true Credential = Get-Credential From = "monitoring@jouwdomain.nl" To = "admin@jouwdomain.nl" Subject = "AD Gebruikersrapport - $(Get-Date -Format 'dd-MM-yyyy')" } $Report = Get-ADUser -Filter * -Properties LastLogonDate, Created, PasswordLastSet | Select-Object Name, SamAccountName, Enabled, LastLogonDate, @{Name="AccountAge";Expression={((Get-Date) - $_.Created).Days}}, @{Name="PasswordAge";Expression={((Get-Date) - $_.PasswordLastSet).Days}} Send-MailMessage @SMTPConfig -Body ($Report | ConvertTo-Html) -BodyAsHtml ``` ### Beveiligingsmaatregelen: 1. **Principle of Least Privilege**: ```powershell # Gebruik een dedicated service account met minimale rechten $Credential = Get-Credential -Message "Voer service account in" Import-Module ActiveDirectory -Credential $Credential ``` 2. **Gevoelige gegevens beveiligen**: ```powershell # Sla gevoelige gegevens encrypted op $ConfigPath = "C:\Secure\ADMonitorConfig.xml" $Config = @{ SMTPUser = "serviceaccount@domain.nl" SMTPPass = ConvertTo-SecureString "Wachtwoord123" -AsPlainText -Force } $Config | Export-Clixml -Path $ConfigPath -Force # Later ophalen: $Config = Import-Clixml -Path $ConfigPath ``` 3. **Logging en auditing**: ```powershell Start-Transcript -Path "C:\Logs\ADUserAudit_$(Get-Date -Format 'yyyyMMdd_HHmmss').log" try { # Uitvoeren van AD-operaties Get-ADUser -Filter * -Properties LastLogonDate -ErrorAction Stop } catch { Write-Error "AD Query mislukt: $($_.Exception.Message)" } finally { Stop-Transcript } ``` 4. **Input validatie en error handling**: ```powershell param( [ValidateRange(1,365)] [int]$DaysInactive = 90, [ValidateScript({Test-Path $_ -PathType Container})] [string]$ExportPath = "C:\Reports" ) try { # Script logica hier } catch [Microsoft.ActiveDirectory.Management.ADIdentityNotFoundException] { Write-Warning "Object niet gevonden in AD" } catch { Write-Error "Onverwachte fout: $($_.Exception.Message)" } ``` ### Aanbevolen extra beveiligingsmaatregelen: 1. **JIT (Just-In-Time) toegang** implementeren voor privileged accounts 2. **Script signing** inschakelen met code signing certificates 3. **Regular expressions** gebruiken voor input validatie 4. **Geen hardcoded credentials** in scripts 5. **API gateways** gebruiken voor externe communicatie 6. **Version control** met Git voor change tracking 7. **Environment-specific configuraties** scheiden van code ### Monitoring suggesties: ```powershell # Controleer op accounts die nooit zijn ingelogd Get-ADUser -Filter {Enabled -eq $true} -Properties LastLogonDate | Where-Object {$_.LastLogonDate -eq $null} | Measure-Object | Select-Object Count ``` Zorg ervoor dat je altijd scripts test in een niet-productie omgeving voordat je ze in productie implementeert. Gebruik de `-WhatIf` parameter waar mogelijk om eerst te zien wat een commando zou doen zonder daadwerkelijk wijzigingen aan te brengen.