Очищення Active Directory [закрито]


14

Хтось знає про корисні інструменти для очищення Active Directory на домені Server 2003? Я хочу почистити старі комп'ютери тощо, і віддаю перевагу безкоштовний інструмент.

У мене дуже багато пристроїв, про які я знаю, що не існують, і я хочу їх очистити до створення нового постійного струму.

Відповіді:


23

У вас уже є всі необхідні інструменти на контролері домену. Основна команда, яку ви хочете використовувати, - DSQUERY . Щоб знайти об'єкти, які були неактивними протягом 52 тижнів, відкрийте вікно CMD та введіть:

DSQUERY computer -inactive 52
DSQUERY user -inactive 52

Ви також можете шукати застарілі паролі, використовуючи -stalepwd <num of days>перемикач замість -inactive. Ви також можете шукати відключені облікові записи за допомогою -disabledперемикача

Якщо ви хочете перенести його на наступний рівень, ви можете мати його автоматично переміщувати об'єкти в ОУ на ваш вибір (де ви потім можете проаналізувати, що там, перш ніж вжити будь-яких подальших дій), передавши результати в команду DSMOVE, як так :

DSQUERY computer -inactive 52 | DSMOVE -newparent <distinguished name of target OU>


Редагувати:

Ось усі вбудовані команди DS для експерименту з:

dsadd /? - help for adding objects.
dsget /? - help for displaying objects.
dsmod /? - help for modifying objects.
dsmove /? - help for moving objects.
dsquery /? - help for finding objects matching search criteria.
dsrm /? - help for deleting objects.

4
Немає сенсу шукати щось складніше чи намагатися винаходити колесо.
Джон Гарденєр

1
Саме так. І як адміністратор AD, люди повинні дійсно навчитися виконувати всі завдання GUI і вручну.
Іззі

1
Людина ... ти щойно позбувся 18-го рядка
VBscript

Редагувати: Додано решту команд DS для довідки
Іззі

1
Дивовижно, саме те, що нам потрібно було +1 все навколо: D
Метт Рогіш

5

OldCmp від JoeWare використовує багато, простий інструмент командного рядка, який створює веб-звіти користувачів та комп’ютерів, які не перевіряли автентифікацію в мережі протягом певного часу. Також можна видалити їх із AD для вас.


2

У моїй попередній позиції, глобальній мережі з близько 15 000 користувачів, ми щомісяця запускаємо пакетний файл, використовуючи команду dsmove, як описав Іззі, для переміщення всіх неактивних облікових записів користувачів та машин у зону утримання. Оператор періодично вручну перевірятиме ці акаунти у списку користувачів, які, як відомо, перебувають у продовженій відпустці, і видаляє всіх, хто не був у цьому списку. Те, що раніше було трудомістким ручним керуванням, стало простим напівавтоматичним завданням, займаючи всього пару хвилин щомісяця.

Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.