Премахване на стари компютри от AD

Всеки е свикнал с факта, че базата данни на Active Directory е груба с ненужни записи от стари машини.

Рано или късно в Active Directory се появяват "мъртви" машини. Вече ги няма. Бяха отписани, преименувани, изоставени в ъгъла. Те не работят, а сметките от тях останаха. В голяма компания те заемат допълнително място в и без това не малка AD база данни. Въпросът е как да се намерят и унищожат тези записи.

Има комерсиална помощна програма Janitor (буквално преведена като чистач) от Special Operations Software, но не виждам голяма нужда от нея, защото безплатната помощна програма OldCmp предлага същата функционалност. Няма GUI, но това едва ли е недостатък.

OldCmp е един единствен изпълним файл. За да намерите машини, които не са били използвани в продължение на 100 дни, изпълнете:oldcmp -report -age 100 В отговор помощната програма ще генерира HTML файл с отчет. OldCmp научава колко време компютърът не е бил използван до датата на последната промяна на паролата. Не бъркайте с промяна на паролата на потребителя. Компютрите имат свои собствени пароли, които сменят без ваша помощ по подразбиране в домейна на всеки 30 дни. В домейн на Windows 2003 можете да обработвате машини не по датата на промяна на паролата, а по последната дата на влизане в тях, като добавите ключа -llts:oldcmp -report -age 100 -llts След това можете да изтриете машини, но е по-добре първо да го деактивирате и да видите какво ще се случиoldcmp -disable -unsafe -forreal -llts -age 100 Ако не бъдат намерени проблеми, може да се изтрие:oldcmp -delete -unsafe -forreal -llts -age 100 Можете да намерите всичко останало в документацията на програмата. По-долу давам примери от документацията, според тях всичко е ясно:

Метод 2

Понякога е необходимо да почистите неактивните списъци за дълго времепотребители и/или компютри, но как да разберете колко време потребителят не е влизал с акаунта си?

Търсенето на „мъртви души“ в Active Directory се свежда до заявки към Active Directory чрез dsquery и последващо пакетно блокиране на остарели домейн акаунти: Вземете списък с потребители, неактивни повече от шест месеца (24 седмици) от домейн контролера:

Същото за компютри:

Групово деактивиране на потребителски акаунти: