clarityops.ch / Blog / Inaktive AD-Benutzer finden
Active Directory

Inaktive AD-Benutzer finden und deaktivieren

Jedes inaktive Konto mit gültigem Passwort ist ein offenes Tor. So spüren Sie diese Konten zuverlässig auf – und deaktivieren sie, ohne den Betrieb zu stören.

Swisson Sathasivam 20. Mai 2026 6 Min. Lesezeit

Inaktive Benutzerkonten gehören zu den unterschätztesten Sicherheitsrisiken in Unternehmensnetzwerken. Sie funktionieren noch, fallen aber niemandem auf – ein ideales Ziel für Angreifer. Wer sein Active Directory absichern will, sollte diese Konten systematisch finden und konsequent deaktivieren. Dieser Leitfaden zeigt, wie das zuverlässig gelingt.

Was zählt überhaupt als „inaktiv"?

Bevor Sie suchen, brauchen Sie eine klare Definition. Üblich ist: ein Konto, das sich seit einer festgelegten Frist – meist 60 oder 90 Tage – nicht mehr angemeldet hat. Entscheidend ist, welches Attribut Sie dafür heranziehen:

Für die Bereinigung ist LastLogonTimestamp die richtige Wahl, solange Sie die Unschärfe einkalkulieren.

Inaktive Konten zuverlässig finden

Der schnellste Weg führt über das ActiveDirectory-PowerShell-Modul. Search-ADAccount nimmt Ihnen die Rechnerei ab:

# Seit 90 Tagen inaktive, aber noch aktivierte Benutzer Search-ADAccount -AccountInactive -TimeSpan 90.00:00:00 -UsersOnly | Where-Object { $_.Enabled -eq $true } | Select Name, SamAccountName, LastLogonDate | Sort-Object LastLogonDate

Das Ergebnis ist Ihre Arbeitsliste. Exportieren Sie sie mit Export-Csv, um sie mit der Personalabteilung abzugleichen.

Vor dem Deaktivieren: kurz prüfen

Nicht jedes „inaktive" Konto ist überflüssig. Diese Fälle sollten Sie vor dem Deaktivieren ausschliessen:

  1. Service- und Systemkonten: Sie melden sich oft nie interaktiv an, sind aber betriebskritisch.
  2. Saisonale oder beurlaubte Mitarbeitende: Mutterschaft, Sabbatical, Langzeitkrankheit – hier lohnt die Rückfrage.
  3. Funktions- und Notfallkonten: Selten genutzt, aber im Ernstfall wichtig. Dokumentieren statt deaktivieren.

Sauber deaktivieren statt löschen

Löschen Sie ein Konto nie sofort – ein gelöschtes Konto reisst Berechtigungen und Gruppenmitgliedschaften mit sich. Der sichere Ablauf:

# Konto deaktivieren und in Quarantäne-OU verschieben Disable-ADAccount -Identity jdoe Move-ADObject -Identity (Get-ADUser jdoe).DistinguishedName ` -TargetPath "OU=Deaktiviert,DC=firma,DC=local"

Best Practice: Deaktivierte Konten 30–60 Tage in einer separaten OU „parken", den Grund im Beschreibungsfeld notieren und erst danach endgültig löschen. So lässt sich ein versehentlich deaktiviertes Konto jederzeit zurückholen.

Den Prozess automatisieren

Eine einmalige Aktion verpufft – nach wenigen Monaten haben sich neue Karteileichen angesammelt. Wirksam wird das Ganze erst als wiederkehrender Prozess: ein monatlicher Report der inaktiven Konten, der automatisch erstellt und an die IT verschickt wird.

Das Skript dafür zu pflegen, die Ergebnisse zu sammeln und in eine verständliche Übersicht zu bringen, kostet allerdings jeden Monat Zeit. Genau diese wiederkehrende Arbeit lässt sich an ein Dashboard auslagern.

Inaktive Konten automatisch im Blick

ClarityOps analysiert Ihr Active Directory laufend und zeigt inaktive Benutzer, Admin-Konten und Passwortstatus übersichtlich in einem Dashboard – 100% On-Premises.

Live-Demo anfragen
— Weiterlesen
Active Directory

Active Directory aufräumen: Checkliste
SCCM & Patchmanagement

SCCM Patch Compliance Report erstellen