清除AD过期的帐户和计算机

公司的域运行到现在,已经超过了3年,在使用的过程中,不断往里面添加用户账户和计算机账户,中途经常发生电脑系统坏掉,重装系统的事情,最要命的是电脑命名规则该了好几次,所以,在计算机这个容器里面,同一台电脑可能会拥有1条以上的记录(旧命名规则和新命名规则都有记录),当然只有1条是有效的;让人同样困扰的还有用户账户,有人离职后,他的登陆账户可能会转给新来的同事,也可能就此废弃,无人使用.这些没有使用的电脑和用户账户都是垃圾,如果放在那里对用户的正常使用当然没有什么影响,不过每次看到总觉得有种无力感:人工去清理吧,工作量太大,现在每天都忙于其它事情,根本没时间做这个事情;不理它吧,看着就觉得自己失败.
      经过一番查找与试用,觉得active directory janitor这个软件不错,正好符合我的需求,将没有使用的计算机账户和用户账户"一网打尽",使我们的域和OU的架构更能反映公司现在的人员情况,也降低了服务器的负荷(涉及到组策略).由于每个电脑和用户对象都有自己的SID号,而且删除了也不会多出来给新的对象使用,所以,最佳的方案是在AD中新建两个OU,分别命名为"已停用的电脑账户"和"已停用的用户账户",然后,把那些现在没有使用的电脑账户和用户账户停用后放到这两个OU里面,这样,各部门现有人员就很清楚了,也就达到了我们的目的.事实上,ad janitor这个软件可以很方便的帮我们实现查找/停用/移动的动作.
      好了,下面只谈技术.先认识下adj的界面,相关图片如下:

我们先清理下过期的计算机账户,选择scan computers,界面变成让我们选择清理计算机账户的范围,一般根据OU来就可以了.相关图片如下:
然后,让我们选择需要扫描哪些属性值,这里根据自己需要选择,建议必选ping / last logon / Disabled 以做筛选之用.相关图片如下:
按scan 进入到扫描界面,注意左上角的start scanning按钮,必须按一下,不然它不会工作的,呵呵.
把那些ping的结果显示为Not in Dns的计算机对象选中,然后把它们disable和move到我们指定的OU里面,就完成了对computers对象的清理.至于为什么清理那些dns记录里面没有的电脑记录,那是因为域里面的电脑每次启动的时候都会到dns服务器去注册自己的A记录,如果超过一定的天数这个A记录没有更新的话,dns服务器会自动将这条A记录给删除掉,并在全部域内的DNS服务器间同步.所以,基本上,not in dns就是说,这台电脑已经非常久的时间没有开机了,最大的可能就是,叫这个名字的电脑已经不存在了.相关图片如下:
关于对users账户的清理,和上面将的对computers账户的清理大同小异,将它们禁用后移动到"已禁用的用户账户"这个OU里面去,这里就不详述了.注意,对它清理的依据是last longon,也就是根据用户账户上次的登陆时间来进行判断,登陆时间显示为空的表示从来就没有登陆过.相关图片如下:
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 7
    评论
命令:dsquery http://technet.microsoft.com/en-us/library/cc755655.aspx 工具:oldcmp 使用OldCmp,你可以搜索、禁用或者删除非活动计算机账号。甚至更好的是,你可以创建一个简单的批处理文件来使这个过程自动化。当你用OldCmp来执行一个搜索的时候,你必须指定以下三种可能选项中的至少一种:-report(生成一张列有非活动计算机账号的HTML报告列表),-disable(禁用非活动计算机账号),-delete(删除非活动计算机账号)。如果你运行OldCmp时只加了-report选项,它会搜索你默认域中所有计算机密码老化日期大于90天的计算机对象,并且把结果生成为一个HTML报告。如果你的域非常大,并且里面有很多计算机账号,这条命令可能得花上一段时间来执行完毕。为了减少OldCmp的运行时间,你可以使用-b选项来指定一个特定的组织单元。OldCmp生成的HTML文件会被放到该工具的运行目录下,除非你用-file选项指定了一个替换位置。如果你包括了-sh选项,OldCmp会在生成HTML文件后自动打开它。如果你想定期地生成HTML报告,你所需要做地全部就是创建一个只包含两行代码的批处理(.bat)文件,如表1所示。其中第一行运行OldCmp,而第二行运行Blat。Blat是一个把文件内容通过电子邮件发送出去的工具,你可以从http://blat.net下载该工具。在第二行中,注意用-to选项设置你自己的电子邮件地址。另外,确认OldCmp和Blat都被放到了你的运行路径下(即在PATH环境变量中定义的路径)。建立了批处理文件之后,你需要创建一个计划任务。确认你为其指定了一个合适的域账号和密码,使该脚本有足够的权限在域中查询计算机对象。辨别非活动计算机账号很有帮助,但更可能的是,你有时候想清除那些账号。我的一般建议是先禁用那些非活动账号,然后经过一个星期或一个月的观察,再删除那些禁用了的账号。这样能保证确实没有人在使用我们删掉的那些账号。表2包含的批处理文件是用来删除禁用的计算机账号,以及禁用新发现的非活动计算机账号的。这个批处理文件有两段命令(注意不要交换次序)。第一段用OldCmp删除禁用了的计算机账号,并且创建deleted_comps.html报告,接着用Blat把该报告发送到XXX@XXX.com。第二段用OldCmp禁用所有计算机密码旧于180天的计算机账号,并且创建disabled_comps.html报告,接着用Blat发送该报告。在写OldCmp的时候,Joe考虑到人们可能会意外地删除或禁用数以千计的计算机账号,所以他加了一些预防措施,包括你所见到的在每个命令集中都有的-safety和-forreal选项。-safety选项用来限制脚本所能删除或者禁用的账号数量。默认情况下,OldCmp不会删除或禁用超过10个账号。若把-safety选项值设为100,则OldCmp最多可以删除100个账号。-forreal选项用来真正删除或者禁用账号。如果不用-forreal选项,OldCmp只会报告它要删除或禁用的账号,而不会真正地删除或者禁用它们。在使用表2中的批处理文件之前,你需要自定义在两行Blat命令中的电子邮件地址。此外切记,为了测试,你应该先去掉两行OldCmp命令中的-forreal选项,然后运行批处理文件来确定OldCmp将要删除或者禁用的账号无误。表1:建立非活动计算机账号报告的批处理文件oldcmp -report -file c:\inactive.htmlblat c:\inactive.html -to XXX@XXX.com -html表2:删除被禁用的计算机账号和禁用新发现的非活动计算机账号的批处理文件oldcmp -delete -onlydisabled -safety 100 -forreal -append -file c:\deleted_comps.htmlblat c:\deleted_comps.html -to XXX@XXX.com -htmloldcmp -disable -age 180 -safety 100 -forreal -append -file c:\disabled_comps.htmlblat c:\disabled_comps.html -to XXX@XXX.com -html
它能够根据你设置的条件过滤用户帐户或者计算机账户,然后你可以设置如何处置这些过期账户,是删除、移动、还是锁定 您需要在命令行环境下执行它,查询命令行的方式是 oldcmp /? 您可以参考下面的这篇文章,上面有详细的图文解说如何使用oldcmp清除旧的计算机帐户: 下面我举一个例子来说明使用OldCmp来清除域中长时间不使用的计算机帐户。 将工具OldCmp.exe 复制 到C盘根目录,打开命令行窗口。接下来我要把AD中超过60天没有更新计算机账户密码的计算机账户挑选出来并禁用,等过一段时间,若没有用户报告出现问题,就可以统统从域中清除了。 注:默认情况下,计算机账户密码每30天自动更新一次。那也就是说我可以认为60天没更新的计算机已经是无效的了。该工具默认是90天,当然您可以根据需要自己设定。 在命令行窗口定位到C:\> 然后运行下面的命令: oldcmp –age 60 –disable –unsafe –forreal 注释:运行了命令后在工具所在的目录内会出现一份html报告,内容非常详尽。下面介绍一下参数含义您看到的文章来自活动目录seo http://gnaw0725.blogbus.com/c1404552/ -age 60 :超过60天未更新计算机账户密码的的计算机账户 -disable :禁用计算机账户 -unsafe :比如你有100个符合条件的对象会被执行,但默认情况下只对前10个做了操作,加了这个参数后就是对所有符合条件的对象操作,这么做的目的只有一个,安全。 -forreal :加了这个参数,所有的操作才真正的执行。默认情况下你的操作都只是出现一份报告,告诉你操作的结果,让你可以有个了解。该工具的使用是需要非常小心的,所以该工具作者认为有必要多一个参数来保护。 命令运行后,刷新一下OU,你就发现符合条件的计算机账户都被禁用了。过了一段时间一切都运作正常,那么我就来删除当初禁用的这些电脑。 只需要运行下面的命令: oldcmp -onlydisabled -delete -unsafe -forreal 参数Onlydisabled就是仅仅对被禁用的计算机账户操作。您看到的文章来自活动目录seo http://gnaw0725.blogbus.com/c1404552/ 另外您还可以借助于脚本去查询并删除过期计算机帐户

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值