删除AD域中的旧账号。我们公司是Windows 2008域环境,用了很长一段时间后,存在很多不活动的账号(包括用户账号,计算机账号),现想将他们查询出(查询一段时间内的),进行删除.试过oldcmp及altools工具,不能实现!请问有什么更好的办法来实现?
还有我想在"已保存的查询"中查询域中已结被禁用了三个月的用户账号,或者超过三个月,或者在三个月之内的.请问此查询如何实现?
 
回答:根据您的描述,我对这个问题的理解是:您想知道如何查找并删除长期未使用的计算机和用户。
对于长期未使用的用户和计算机,我们主要是看该用户或计算机多久没有登录到域了。您可以使用以下两种方法(第一种方法主要针对2003 domain,希望对于别的合作伙伴有用):

1. 如果您的域是domain 2003 native,那么我们一般使用DSquery命令来查找。然后使用Dsmod命令来禁用该用户或计算机。具体如下:
Dsquery computer -inactive NumberOfWeeks (NumberOfWeeks指几个星期,比如4)
这条命令可以查找4个星期未使用的计算机
 
要禁用一台计算机,您可以使用以下命令:
dsmod computer CN=MemberServer1,CN=Computers,DC=Microsoft,DC=Com CN=MemberServer2,CN=Computers,DC=Microsoft,DC=Com -disabled yes
该命令禁用了MemberServer1这台计算机
 
对于DSquery的使用,请参考:
http://technet2.microsoft.com/WindowsServer/en/library/46ba1426-43fd-4985-b429-cd53d3046f011033.mspx?mfr=true
 
对于DSmod的使用,请参考:
http://technet2.microsoft.com/windowsserver/en/library/3558c421-ba3d-4b8f-a107-b9058cc0f2861033.mspx?mfr=true

2.由于您的域是Windows 2000,我们只可以使用三方工具来实现。有一个脚本delold.vbs您可以使用。该脚本我会在Email中发送给您,请注意查收。该脚本的具体用法如下:您看到的文章来自活动目录seo http://gnaw0725.blog.51cto.com/156601/d-1
命令行的参数为:

/N:Days 查找N天以上没有使用的机器或者用户.
/C:Class 可以设置为用户或者计算机,缺省为2者都是
/U:Username Username必须是有权限的用户
/W:Password Password就是该用户的密码
/S:Server DC的名字
/D:Domain 域的名字,可以是NetBios或FQDN
/F:File Name 输出文件的路径和名字

举例如下:
查找计算机:
cscript delold.vbs /n:90 /u:administrator /w:password /s:win2000test001 /d:w2000 /f:c:\ListOldAccount.csv /c:computer

查找用户:
cscript delold.vbs /n:90 /u:administrator /w:password /s:win2000test001 /d:w2000 /f:c:\ListOldAccount.csv /c:user

命令完成后,请用Excel打开 c:\ListOldAccount.csv
请将该附件重命名为delold.vbs。同时请注意以下几点:

1. 该工具是按照帐号的口令更改时间确定帐号是否过期的。所以对于口令永不过期的帐号,如果其口令设置时间是很久以前,即使最近登陆过,也会被视为过期帐号。对于这些帐号,可以再手工启用。
2. 不要将过期天数设得过小,以避免将部分可能要继续使用的帐号禁用。
 
3. 进行禁用和移动前一定先搜索,对搜索到的帐号进行核实。
4. 该工具只是一个辅助工具,不能全部代替手工操作和管理员日常维护。不需要的帐号还是应该及时手工禁用或者删除。

另外我也测试过oldcmp.exe等免费第三方工具来查找并删除未使用的计算机。测试也都是成功的。由于帖子中提供的工具不是微软的正式工具,所以我们不提供保证及正式的支持。

对于您的第二个问题,您可以打开AD用户的计算机,右键点击已保持的查询,选择新建查询。命名该查询然后点击定义查询按钮。在用户栏中选择已禁用账户,然后将自从上次登录后的天数选择为90天。点击确定2次,您就可以看到90天及更长时间以前最后一次登录的目前已禁用的用户。目前我们只能以30天为单位查找,所以您想查找90天以后登录的用户,我们可以选择60。位于2者之间的用户就是在60-90天之间登录的用户。

邵宏 微软全球技术支持中心

删除AD域中不活动的账号的相关文章请参考
查询AD域长时间没有登录的帐号
清理AD域无效计算机帐户
删除AD域中不活动的账号
AD如何清理过期电脑
活动目录清理
---gnaw0725