Лучший отвечающий
удаление старых записей из active directory

Вопрос
-
доброго времени суток!
ситуация такая, есть домен и AD, поставлена задача по смене пароля в домене, параллельно возник вопрос, как из AD удалить ПК(т.к. процесс смены пароля напрямую затрагивает число пк в сети), которые хотя бы раз появились в сети и соответственно получили регистрацию, но на протяжении длительного времени в сети не работали и по разным причинам работать не собираются. таким образом, машин в базе AD порядка 2500, на деле же в сети находятся примерно 1700-1800 и получается большая куча "мёртвых" машин...
как их удалить?
p.s. хотелось бы ещё знать, если пк появится в сети, не понадобится ли его повторное включение в домен?
заранее спасибо
31 августа 2011 г. 13:11
Ответы
Все ответы
-
хотелось бы ещё знать, если пк появится в сети, не понадобится ли его повторное включение в домен
Если удалите учётную запись - понадобится. В остальном: можно отфильтровать станции, на которые давно не логинились (к примеру - 9 недель, условно говоря - 2 месяца):
dsquery computer -inactive 9
31 августа 2011 г. 13:27Отвечающий -
а можно ли описать процесс более детально? дело в том, что весь этот процесс не отработан вообще! специалисты, которые в своё время настраивали всё это сейчас не работают... и до этого момента все работало по принципу "если всё работает, лучше не трогай!" а сейчас появилась необходимость почистить AD от "мёртвых душ". Буду рад ссылкам на статьи :)
p.s. вообще существует какая то технология отслеживания списания ПК?
p.s.s. спасибо за ответ!!!
1 сентября 2011 г. 7:45 -
а можно ли описать процесс более детально?
Да нет тут деталей - процесс примитивнейший. У учётной записи станции в AD есть атрибут LastLogontimeStamp - указывает на время последнего логона пользователя на неё. Вышеуказанной командой можно найти станции, на которые никто не логинился указанное количество недель. Но имейте ввиду - если пользователь залогинился туда однажды, а потом не выходит месяцами - LastLogontimeStamp у станции будет стоять именно по его логону и вышеуказанная команда эту станцию выдаст в списке тоже.1 сентября 2011 г. 8:28Отвечающий -
Также есть ещё ключик -StalePwd: количество дней с последней смены пароля станцией. Станция меняет свой пароль каждые 30 дней, при этом в AD сохраняется и один предыдущий. Если станция не меняла свой пароль, скажем, более 60 дней - есть основания подозревать, что она мёртвая.
Отличная, кстати, тема.1 сентября 2011 г. 8:32Отвечающий -
а можно ли описать процесс более детально?
Да нет тут деталей - процесс примитивнейший. У учётной записи станции в AD есть атрибут LastLogontimeStamp - указывает на время последнего логона пользователя на неё. Вышеуказанной командой можно найти станции, на которые никто не логинился указанное количество недель. Но имейте ввиду - если пользователь залогинился туда однажды, а потом не выходит месяцами - LastLogontimeStamp у станции будет стоять именно по его логону и вышеуказанная команда эту станцию выдаст в списке тоже.
Немножко дополню - LastLogontimeStamp указывает ПРИМЕРНОЕ время, по дефолту емнип этот параметр может "врать" до 2х недель.
По процессам могу порекомендовать сначала визуально прошерстить список "мертвых душ" на предмет сервисных и т.п. учеток. (это конечно больше относится к пользовательским учетным записям)
Затем перенести все эти учетки в отдельную ОUшку и деактивировать(disable) их. Естественно рекомендуется сохраинть их старое местоположение.
И собственно понаблюдать не выпали ли какие то сервисы и не вылезли ли гдето какието ошибки. Соответственно лишь продержав их некоторое время в эдаком "карантине" и убедившись что они не используются - удалить их.
1 сентября 2011 г. 12:35 -
-
Немножко дополню - LastLogontimeStamp указывает ПРИМЕРНОЕ время, по дефолту емнип этот параметр может "врать" до 2х недель.
По процессам могу порекомендовать сначала визуально прошерстить список "мертвых душ" на предмет сервисных и т.п. учеток. (это конечно больше относится к пользовательским учетным записям)
Затем перенести все эти учетки в отдельную ОUшку и деактивировать(disable) их. Естественно рекомендуется сохраинть их старое местоположение.
И собственно понаблюдать не выпали ли какие то сервисы и не вылезли ли гдето какието ошибки. Соответственно лишь продержав их некоторое время в эдаком "карантине" и убедившись что они не используются - удалить их.
1. Вот с этим уже столкнулся - делал выгрузку из AD компьютеров, которых не было 16 недель и тут наткнулся на ПК, которые появлялись в сети совсем недавно....( ну во общем то ничего страшного, их немного.
2. Этот процесс уже проделан и все сервера были удалены из исходного списка, с которым работает скрипт.
To s.h.s._ : спасибо за ссылку на статью буду читать.
4 сентября 2011 г. 7:09 -
на данный момент из списка в 2500 ПК осталось 400 с небольшим - можно сказать задача практически выполнена
осталось удалить из AD старые ПК. ещё вот что хотел спросить, кто-нибудь настраивал автоматизированный мониторинг AD на предмет старых компьютеров?
6 сентября 2011 г. 9:18 -
Что значит автоматизированный? Я скриптик на VBA для Excel набросал. Он выводит в таблицу Excel список компов в домене с датой последней регистрации (LastLogon). http://www.ffadmin.info/2010/10/active-directory.html
Периодически смотрю какие компы давно не регистрировались в домене у грохаю их...
11 мая 2012 г. 17:30 -
В оснастке ADUC в сохраненных запросах выставляем "Число дней со времени последнего входа в систему" = [нужное кол. дней]. Все машины в запросе будут соответствовать критерию поиска и удалить их можно оттуда одной клавишей.
- Изменено VladimirVS2 26 июня 2019 г. 2:59
26 июня 2019 г. 2:59