AD中指定非活动周期账户及计算机的查询及导出
长时间非活动的计算机是 AD中的垃圾,如果企业规模大的话加上管理员没及时删除对DC来说一大头疼问题,或者说DC每天计划备份都会多浪费时间,所以呢今天就通过脚本给DC清除不必要的垃圾。
通过Dsquery命令的inactive参数排查出指定时间内没有活动的计算机
通过Dsquery /?可查询相关的操作
备注:-inactive指得是机器未logon的时间,-stalepwd是机器密码未改的时间,-disable是禁用的信息, –noprompt指的是在执行相关的操作不会提示确认信息
Dsquery对于不活动时间越长的计算机越准,因为Active Directory是根据计算机是否验证身份来判断其是否活动的。可以说一台保持开机状态但是没有通过验证及操作的计算机也会被判定为不活动的,对于这个问题在服务器方面比较多见,比如文件共享服务器;
因此我们不能根据Dsquery结果立刻删除计算机帐号及用户账户,我们还需要做一些验证工作(比如通过Ping、remote的方式验证)。
以下介绍几种常见操作:
Dsquery computer –inactive 1 (查询一周内没有活动的计算机)
Dsquery computer -disabled | dsrm –noprompt (查出禁用的计算机然后删掉)
Dsquery user –inactive 1 (查询一周内没有活动的用户)