none
удаление старых записей из active directory RRS feed

  • Вопрос

  • доброго времени суток!

    ситуация такая, есть домен и AD, поставлена задача по смене пароля в домене, параллельно возник вопрос, как из AD удалить ПК(т.к. процесс смены пароля напрямую затрагивает число пк в сети), которые хотя бы раз появились в сети и соответственно получили регистрацию, но на протяжении длительного времени в сети не работали и по разным причинам работать не собираются. таким образом, машин в базе AD порядка 2500, на деле же в сети находятся примерно 1700-1800 и получается большая куча "мёртвых" машин... 

    как их удалить?

    p.s. хотелось бы ещё знать, если пк появится в сети, не понадобится ли его повторное включение в домен?

    заранее спасибо

     

    31 августа 2011 г. 13:11

Ответы

Все ответы

  • хотелось бы ещё знать, если пк появится в сети, не понадобится ли его повторное включение в домен

    Если удалите учётную запись - понадобится. В остальном: можно отфильтровать станции, на которые давно не логинились (к примеру - 9 недель, условно говоря - 2 месяца):

    dsquery computer -inactive 9

    31 августа 2011 г. 13:27
    Отвечающий
  • а можно ли описать процесс более детально? дело в том, что весь этот процесс не отработан вообще! специалисты, которые в своё время настраивали всё это сейчас не работают... и до этого момента все работало по принципу "если всё работает, лучше не трогай!" а сейчас появилась необходимость почистить AD от "мёртвых душ". Буду рад ссылкам на статьи :)

    p.s. вообще существует какая то технология отслеживания списания ПК?

    p.s.s. спасибо за ответ!!!

    1 сентября 2011 г. 7:45
  • а можно ли описать процесс более детально?
    Да нет тут деталей - процесс примитивнейший. У учётной записи станции в AD есть атрибут LastLogontimeStamp - указывает на время последнего логона пользователя на неё. Вышеуказанной командой можно найти станции, на которые никто не логинился указанное количество недель. Но имейте ввиду - если пользователь залогинился туда однажды, а потом не выходит месяцами - LastLogontimeStamp у станции будет стоять именно по его логону и вышеуказанная команда эту станцию выдаст в списке тоже.
    1 сентября 2011 г. 8:28
    Отвечающий
  • Также есть ещё ключик -StalePwd: количество дней с последней смены пароля станцией. Станция меняет свой пароль каждые 30 дней, при этом в AD сохраняется и один предыдущий. Если станция не меняла свой пароль, скажем, более 60 дней - есть основания подозревать, что она мёртвая.
    Отличная, кстати, тема.
    1 сентября 2011 г. 8:32
    Отвечающий
  • а можно ли описать процесс более детально?
    Да нет тут деталей - процесс примитивнейший. У учётной записи станции в AD есть атрибут LastLogontimeStamp - указывает на время последнего логона пользователя на неё. Вышеуказанной командой можно найти станции, на которые никто не логинился указанное количество недель. Но имейте ввиду - если пользователь залогинился туда однажды, а потом не выходит месяцами - LastLogontimeStamp у станции будет стоять именно по его логону и вышеуказанная команда эту станцию выдаст в списке тоже.

    Немножко дополню - LastLogontimeStamp указывает ПРИМЕРНОЕ время, по дефолту емнип этот параметр может "врать" до 2х недель.

    По процессам могу порекомендовать сначала визуально прошерстить список "мертвых душ" на предмет сервисных и т.п. учеток. (это конечно больше относится к пользовательским учетным записям)

    Затем перенести все эти учетки в отдельную ОUшку и деактивировать(disable) их. Естественно рекомендуется сохраинть их старое местоположение.

    И собственно понаблюдать не выпали ли какие то сервисы и не вылезли ли гдето какието ошибки. Соответственно лишь продержав их некоторое время в эдаком "карантине" и убедившись что они не используются - удалить их.

    1 сентября 2011 г. 12:35
  • >Буду рад ссылкам на статьи

    Поиск устаревших учетных записей в AD ;)


    my blog: http://shserg.ru/
    • Помечено в качестве ответа CSDB 8 сентября 2011 г. 7:20
    3 сентября 2011 г. 18:22
  • Немножко дополню - LastLogontimeStamp указывает ПРИМЕРНОЕ время, по дефолту емнип этот параметр может "врать" до 2х недель.

    По процессам могу порекомендовать сначала визуально прошерстить список "мертвых душ" на предмет сервисных и т.п. учеток. (это конечно больше относится к пользовательским учетным записям)

    Затем перенести все эти учетки в отдельную ОUшку и деактивировать(disable) их. Естественно рекомендуется сохраинть их старое местоположение.

    И собственно понаблюдать не выпали ли какие то сервисы и не вылезли ли гдето какието ошибки. Соответственно лишь продержав их некоторое время в эдаком "карантине" и убедившись что они не используются - удалить их.

    1. Вот с этим уже столкнулся - делал выгрузку из AD компьютеров, которых не было 16 недель и тут наткнулся на ПК, которые появлялись в сети совсем недавно....( ну во общем то ничего страшного, их немного.  

    2. Этот процесс уже проделан и все сервера были удалены из исходного списка, с которым работает скрипт.

    To s.h.s._ : спасибо за ссылку на статью буду читать.

    4 сентября 2011 г. 7:09
  • на данный момент из списка в 2500 ПК осталось 400 с небольшим - можно сказать задача практически выполнена

    осталось удалить из AD старые ПК. ещё вот что хотел спросить, кто-нибудь настраивал автоматизированный мониторинг AD на предмет старых компьютеров?  

    6 сентября 2011 г. 9:18
  • Что значит автоматизированный? Я скриптик на VBA для Excel набросал. Он выводит в таблицу Excel список компов в домене с датой последней регистрации (LastLogon). http://www.ffadmin.info/2010/10/active-directory.html

    Периодически смотрю какие компы давно не регистрировались в домене у грохаю их...

  • В оснастке ADUC в сохраненных запросах выставляем "Число дней со времени последнего входа в систему" = [нужное кол. дней]. Все машины в запросе будут соответствовать критерию поиска и удалить их можно оттуда одной клавишей.


    • Изменено VladimirVS2 26 июня 2019 г. 2:59
    26 июня 2019 г. 2:59