Видалення з AD старих комп’ютерів
Видалення з AD старих комп'ютерів
Всі звикли до того, що база Active Dirrectory за хамляється зайвими записами від старих машин.
Рано чи пізно Active Directory з'являються “мертві” машини. Їх уже нема. Їх списали, перейменували, закинули у кутку. Вони не працюють, а облікові записи залишилися. У великій компанії вони займають зайве місце в і без того не маленькій базі AD. Постає питання про те, як ці записи знайти та знищити.
Є комерційна утиліта Janitor (у дослівному перекладі - прибиральник) від Special Operations Software, але великої потреби я в ній не бачу, бо той же функціонал пропонує безкоштовна утилітка OldCmp. Вона без GUI, але навряд чи це недолік.
OldCmp - один єдиний файл, що виконується. Щоб знайти машини, які не використовувалися 100 днів, запускаємо:oldcmp -report -age 100 У відповідь утиліта створить файл HTML зі звітом. Про те, скільки комп'ютер не використовувався, OldCmp дізнається про дату останньої зміни пароля. Не плутайте зі зміною пароля користувача. Комп'ютери мають свої паролі, які вони змінюють без вашої допомоги, за промовчанням у домені кожні 30 днів. У домені на базі Windows 2003 можна обробляти машини не за датою зміни пароля, а за датою останнього логону на них, додавши ключ -llts:oldcmp -report -age 100 -llts Далі можна видаляти машини, але краще спочатку відключити, і подивитися, що будеoldcmp -disable -unsafe -forreal -llts -age 100 Якщо ніяких проблем не виявлено, можна видаляти:oldcmp -delete -unsafe -forreal -llts -age 100 Все інше можна знайти у документації до програми. Нижче наводжу приклади з документації, з них і так усе зрозуміло:
Спосіб 2
Іноді необхідно чистити списки неактивних тривалий часкористувачів та/або комп'ютерів, але як з'ясувати, наскільки давно користувач не заходив під своїм обліковим записом?
Пошук "мертвих душ" в Active Directory зводиться до запитів до Active Directory через dsquery і наступного пакетного блокування застарілих облікових записів домену: Отримати від контролера домену список користувачів не активних більше ніж півроку (24 тижні):
Теж саме для комп'ютерів:
Пакетне відключення облікових записів користувачів: