如何将过期的计算机从computers容器中自动清除?因为有很多时候没有按正常的方法退域,导致在AD的computers容器中存在很多过时的计算机,有没有办法让它自动清除呢
对我们广大网络管理员来说,用户帐号和计算机帐号的管理是我们最长见也是最难管理一项工作。我们知道频繁的系统重装和加入域的过程会导致产生大量无效计算机帐号,如何清理这些无效计算机帐号就成为了一个难题。
Q:
如何查找并删除域中多余的计算机帐号?
A:
如果我们的域是Windows 2003域,我们可以通过dsquery命令的inactive参数排查出一段时间没有活动的计算机。
附件中包含两个cmd的文件,内容分别如下:
DisableComputer.CMD
dsquery computer -inactive 10 -stalepwd 70 |dsmod computer -disabled yes
查处10周未登陆的机器以及70天未能更改域计算机密码的机器(数值可自行指定),然后把它们设成disabled。
备注:-inactive指得是机器未logon的时间,-stalepwd是机器密码未改的时间,windows 2000以上的机器默认为30天,我们可以两者结合来看看哪些是非active的机器。如果要用-inactive参数,需要2003纯模式。如果单单使用-stalepwd,可以在混合模式下运行。
dsquery对于不活动时间越长的计算机越正确。造成这一现象的原因是Active Directory是根据计算机是否验证身份来判断其是否活动的。一台1个月没有开机的计算机当然是不活动的,但是一台开机但是一个月无人操作的计算机也会被判断为不活动的,而第二种情况在服务器上是比较常见的(比如文件共享服务器)。所以我们不能根据dsquery结果立刻删除计算机帐号,还需要做一些验证工作(比如查询这一计算机名的IP)。
DeleteComputer.CMD
dsquery computer -disabled | dsrm –noprompt
查出禁用机器然后删掉。
备注:建议在使用DisableComputer.CMD两周之后,没有用户报错的情况下再使用DeleteComputer.CMD来删除域中多余的计算机帐号。
分享到:
相关推荐
导出AD域中的用户,方便获取域控制器内某OU下的用户,需要修改的地方大家注意
验证AD域账号登陆,获取AD域用户列表,获取用户邮箱,修改密码等AD域操作
该资源是一个简单的OA人员状态同步AD域服务器,可实现配置文件修改两边数据源。基础功能简介如下: ...2、AD域中userAccountControl为人员状态值(546为禁用,66080为启用)可在线查阅后自行设置。
AD域备份和恢复方法AD域备份和恢复方法AD域备份和恢复方法AD域备份和恢复方法
验证AD域用户登录 ,传入用户名(userName)和密码(password)进行验证。
AD域权限设置AD域权限设置AD域权限设置AD域权限设置
AD域分页查询全部域用户数据
AD无用的计算机账号删除工具
AD域中客户端时间与服务器时间不同步的解决办法
AD域中批量处理数据的脚本,请大家参考,可以省去一个一个处理的麻烦。
AD域-限制windows域用户多点并发登录
根据微软官方文档,使用.net开发的web AD域管理工具,采用简单的Html+一般处理程序来实现;本资源可直接部署使用
AD域全面管理维护手册v1.0,一些AD域中常遇到的问题解答!
批量从组中删除用户; 从OU中获取组,联系人和计算机; 按天数获取不活动的计算机; 记录管理员的所有操作到数据库,并可查看日志; 批量测试AD用户密码(默认为锁定),用于测试AD用户是否使用了简单密码; 检查...
C# 、.NET 读取AD域里用户名或组C# 、.NET 读取AD域里用户名或组C# 、.NET 读取AD域里用户名或组
本文档介绍了Ubuntu 16.04加入windows AD域的具体详细教程,是亲自操作成功多次后,总结的文档。
配合本人AD域证书导入的配置博客,本代码为AD域用户插入和密码修改
JAVA ldap AD 域 免证书 查询 修改 删除 新增 启用 禁用 修改密码
AD域、DNS分离+额外域控制器安装-及主域控制器损坏解决方法
C#读取微软的AD域里的组织结构和用户信息,有2个版本的,网页版,和控制台版本。完整代码,能够直接运行。