Windows Server - Identificar obsoleto Active Directory contas de computador com dsquery

Data de postagem: May 19, 2011 11:43:44 AM

Leve em conta: Lista de domínios do Active estão em constante necessidade de manutenção. Rick Vanover mostra uma maneira de identificar possíveis contas de computadores obsoletos no Active Directory.

Uma tarefa frustrante limpeza para o Active Directory é garantir que as contas de computador antigo (geralmente servidores, computadores desktop ou laptops dentro do Active Directory) são removidos. Uma rápida olhada no guia Objeto de uma conta de computador vai dizer quando o número de seqüência de atualização (USN) foi atualizado, mas não a última vez que o computador conectado ao domínio. Algumas possíveis razões por que as contas de computador obsoleto entrar em Active Directory incluem uma máquina de teste virtual é descartado, um antigo servidor aposentado, ou um servidor é atualizado eo antigo está detido para o caso.

Existem algumas maneiras de identificar se uma conta de computador no Active Directory é obsoleto. A abordagem que eu recomendo é a criação de uma política para o domínio do Active Directory que explica as regras, basicamente, se uma conta de computador de qualquer tipo não logon para um determinado período de tempo, a conta de computador pode estar sujeito a remoção.

A questão aqui é sistemas remotos, como um laptop, onde o usuário correspondente pode ser capaz de fazer tudo o que precisam através de uma aplicação web, você deve dar esse pensamento antes de executar algumas supressões conta atacado. Além disso, eu recomendo o seguinte encenado abordagem, se há um monte de perguntas sobre o domínio do Active Directory, e as necessidades básicas de limpeza a ser feito:

  1. Defina um limite de tempo para as contas velho para ser removido (por exemplo, dois meses).

  2. Mova as contas potencialmente obsoletos para uma nova unidade organizacional (UO) e desativá-los.

  3. Executar um limite adicional para as contas obsoletos que foram nesta UO para mais um mês e excluí-los.

No meu laboratório pessoal, eu corria o dsquery comando para ver como as contas de computador muitos têm sido parado por dois meses (representados por oito semanas, este comando conforme ilustrado na Figura A ).

Figura A

Clique na imagem para ampliar.

O comando dsquery computador inativo 8 vai funcionar para todo o domínio do computador em questão. parâmetros adicionais, tais como a consulta especificada OUs só, pode ser realizado para atingir determinadas áreas tais como as contas do servidor antigo. Se um dos computadores no resultado posteriormente log sua conta de computador para o Active Directory, dsquery não iria devolvê-lo na próxima iteração deve ser agora a sua actividade dentro do limite. Como medida de segurança, você pode executar esse relatório trimestral e identificar as contas inativas de forma consistente para limpá-lo em etapas e continuar a obter uma alça sobre o comportamento da conta do computador.

13 de maio de 2011, 10:00 PDT - Por Rick Vanover