none
Computadores inativos RRS feed

  • Discussão Geral

  • Camaradas, sei que já existem vários tópicos sobre esse assunto, mas até agora não consegui exatamente o que eu quero. Vê se podem me ajudar.

    Estou procurando por um parâmetro confiável para buscar por computadores inativos no AD. Já tentei pelo DSQuery e tentei usando scripts powershell comparando data do LastLogonDate, LastLogonTimeStamp, mas todos os resultados sempre retornam computadores que estão ativos (que eu verifico com teste de ping e acesso remoto via RDP, constatando que o micro está ativo e usuário trabalhando no máquina).

    Se tiverem uma outra idéia, ficarei muito grato.

    • Tipo Alterado Marcos SJ segunda-feira, 28 de março de 2016 20:44 How to
    segunda-feira, 28 de março de 2016 14:46

Todas as Respostas

  • Você está considerando inativo a partir de quantos dias?
    segunda-feira, 28 de março de 2016 15:32
  • Você também pode usar uma aplicação chamado OLDCMP.
    segunda-feira, 28 de março de 2016 15:54
  • Estou considerando a partir de 45 dias
    segunda-feira, 28 de março de 2016 16:22
  • Olá.

    Vi no site dessa aplicação que a última atualização dele saiu em 2004. Ele ainda funciona bem aí contigo?

    segunda-feira, 28 de março de 2016 16:24
  • Sim, perfeitamente.
    segunda-feira, 28 de março de 2016 17:56
  • Sim, perfeitamente.

    Realmente o programa funciona. Acontece que ele retorna os mesmos registros que uma pesquisa feita por DSQuery. E continua trazendo computadores ativos, mesmo eu executando pelo padrão da ferramenta (que é pegar inativos a mais de 90 dias).

    segunda-feira, 28 de março de 2016 20:12
  • Boa Tarde,

    Pode ser um problema no seu DNS então, pois está retornando máquinas ativas, talvez porque estão registradas com o mesmo IP de máquina nova. Faça uma limpeza do cache no seu DNS e verifique os registros duplicados que pode existir no seu servidor DNS.

    segunda-feira, 28 de março de 2016 21:56
  • Fazer uma pesquisa por contas de usuários e/ou computadores inativos no AD DS pode parecer trivial, mas não é tão trivial assim.

    Este tipo de levantamento depende de fatores como por exemplo, o número de Domain Controllers que você possui em sua infraestrutura. Por que eu digo isto? Simples! O atributo LastLogon é um atributo que não é replicado entre Domain Controllers e é atualizado apenas no DC onde a conta efetuar a autenticação.

    Resumindo, se há um DC01 e um DC02, um COMP02 residente no site do DC02 ao efetuar logon irá atualizar o atributo LastLogon no DC02 e se você efetuar uma pesquisa a partir de um COMP01 residente no site do DC01, ao verificar o atributo LastLogon você verá que o atributo estará vazio.

    Outro fator importante é que embora o atributo LastLogonTimeStamp seja replicados para todos os DCs da infraestrutura de AD DS, ele não é um atributo que recebe o mesmo tipo de tratamento de outros objetos no momente da replicação.

    O atributo LastLogonTimeStamp normalmente é replicado entre os DCs a cada 14 dias, ou seja, se você fizer uma pesquisa por este atributo e definir uma margem inferior a 14 dias para determinar se um computador ou usuário está ativo, você correrá o risco de cometer o erro de desativar uma conta que não deveria.

    Uma alternativa para o que você pretende fazer é usar o atributo pwdLastSet, pois por padrão, todo computador faz a troca de sua senha de máquina no AD DS a cada 30 dias, ou seja, um computador que tenha o atributo pwdLastSet superior a 30 dias, pode vir a ser alvo de uma verificação para validar se realmente pode ser removido ou não.

    Quando eu digo que o computador precisa de uma verificação para ser removido é por que quando estamos falando de contas de máquina, você pode ter o computador de um colaborador afastado por mais de 30 dias desligado por economia, portanto, é uma máquina que não deveria ser entendida como inativa.

    Você pode ter N outras situações onde o computador pode estar sem se comunicação com o AD DS e isto é algo que precisa ser verificado antes de retirá-lo do domínio.

    segunda-feira, 28 de março de 2016 23:55