Все привыкли к тому что база Active Dirrectory за хамляется лишними записями от старых машин.

почистить AD от давно мертвых компов, начал искать решения и нашел просто замечательную статью. Да простить меня автор, но я просто обязан опубликовать ее, ибо сберегла мне она оооооооочень много времени. надеюсь и вам поможет.  Публикую  слово в слово!

Рано или поздно в появляются “мертвые” машины. Их уже нет. Их списали, переименовали, забросили в углу. Они не работают, а учетные записи от них остались. В большой компании они занимают лишнее место в и без того не маленькой базе AD. Встает вопрос о том, как эти записи найти и уничтожить.

 

Есть коммерческая утилита Janitor (в дословном переводе - уборщик) от Special Operations Software, но большой необходимости я в ней не вижу, ибо тот же функционал предлагает бесплатная утилитка OldCmp. Она без GUI, но вряд ли это недостаток.

OldCmp - один единственный исполняемый файл. Чтобы найти машины, не использовавшиеся 100 дней, запускаем:
oldcmp -report -age 100
В ответ утилита создаст файл HTML с отчетом. О том, сколько компьютер не использовался, OldCmp узнает по дате последней смены пароля. Не путайте со сменой пользовательского пароля. У компьютеров есть свои пароли, которые они меняют без вашей помощи, по умолчанию в домене каждые 30 дней. В домене на базе Windows 2003 можно обрабатывать машины не по дате смены пароля, а по дате последнего логона на них, добавив ключ -llts:
oldcmp -report -age 100 -llts
Далее можно удалять машины, но лучше сначала отключить, и посмотреть что будет :)
oldcmp -disable -unsafe -forreal -llts -age 100
Если никаких проблем не выявлено, можно удалять:
oldcmp -delete -unsafe -forreal -llts -age 100
Все остальное можно найти в документации к программе. Ниже привожу примеры из документации, по ним и так все понятно:

OldCmp.zip 

 Способ 2

Иногда необходимо чистить списки неактивных длительное время пользователей и/или компьютеров, но как выяснить насколько давно пользователь не заходил под своей учетной записью?

Поиск "мёртвых душ" в Active Directory сводится к запросам к Active Directory через dsquery и последующей пакетной блокировке устаревших учётных записей домена:
Получить от контроллера домена список пользователей не активных более полугода (24 недели):

dsquery user domainroot -d domain.name.local -inactive 24 > C:\user.txt


Тоже самое для компьютеров:

dsquery computer domainroot -d domain.name.local -inactive 24 > C:\computer.txt


Пакетное отключение учетных записей пользователей:

dsmod user -disabled yes < C:\user.txt


Тоже самое для компьютеров:

dsmod computer -disabled yes < C:\computer.txt



Статья взята с сайта www.sysadminwiki.ru

Добавить комментарий

Защитный код
Обновить