×

如何查找并删除AD域中多余的计算机帐号?

hqy hqy 发表于2021-04-20 08:51:47 浏览1609 评论0

抢沙发发表评论

如何查找并删除AD域中多余的计算机帐号?(2009-04-24 12:07:58)转载标签: it 分类: 微软服务器技术


如何将过期的计算机从computers容器中自动清除?因为有很多时候没有按正常的方法退域,导致在AD的computers容器中存在很多过时的计算机,有没有办法让它自动清除呢


对我们广大网络管理员来说,用户帐号和计算机帐号的管理是我们最长见也是最难管理一项工作。我们知道频繁的系统重装和加入域的过程会导致产生大量无效计算机帐号,如何清理这些无效计算机帐号就成为了一个难题。


Q:


如何查找并删除域中多余的计算机帐号?


A:


如果我们的域是Windows 2003域,我们可以通过dsquery命令的inactive参数排查出一段时间没有活动的计算机。


附件中包含两个cmd的文件,内容分别如下:


DisableComputer.CMD


dsquery computer -inactive 10 -stalepwd 70 |dsmod computer -disabled yes


查处10周未登陆的机器以及70天未能更改域计算机密码的机器(数值可自行指定),然后把它们设成disabled。


备注:-inactive指得是机器未logon的时间,-stalepwd是机器密码未改的时间,windows 2000以上的机器默认为30天,我们可以两者结合来看看哪些是非active的机器。如果要用-inactive参数,需要2003纯模式。如果单单使用-stalepwd,可以在混合模式下运行。


dsquery对于不活动时间越长的计算机越正确。造成这一现象的原因是Active Directory是根据计算机是否验证身份来判断其是否活动的。一台1个月没有开机的计算机当然是不活动的,但是一台开机但是一个月无人操作的计算机也会被判断为不活动的,而第二种情况在服务器上是比较常见的(比如文件共享服务器)。所以我们不能根据dsquery结果立刻删除计算机帐号,还需要做一些验证工作(比如查询这一计算机名的IP)。


DeleteComputer.CMD


dsquery computer -disabled | dsrm –noprompt


查出禁用机器然后删掉。


备注:建议在使用DisableComputer.CMD两周之后,没有用户报错的情况下再使用DeleteComputer.CMD来删除域中多余的计算机帐号。


了解dsquery的更多信息,请参考下面这篇文章:


http://technet2.microsoft.com/WindowsServer/en/library/46ba1426-43fd-4985-b429-cd53d3046f011033.mspx?mfr=true


本贴来自ZDNetChina中文社区 http://bbs.zdnet.com.cn ,本贴地址:http://bbs.zdnet.com.cn/viewthread.php?tid=352021


http://gnaw0725.blogbus.com/


怎么可以查到AD里面长时间没有登录的帐号 - [AD FAQ]


TAG:oldcmp 域 废账户 过期账户 acctinfo


因为以前许多原因,建立了一些帐号. 现在想清理一下,想将长时间没有用的帐号删除掉.请问可以用什么工具或者方法, 查到AD里面长时间没有登录的帐号呢?谢谢!


回答:


您可


ad域批量管理域用户 - ADManager Plus

广告 ad域全方位域管理,一键增删改查,批量用户导入,简单高效。 查看详情 >


以使用一个叫oldcmp的工具,它能够根据你设置的条件过滤用户帐户或者计算机账户,然后你可以设置如何处置这些过期账户,是删除、移动、还是锁定。该工具的下载地址在 http://www.joeware.net/ 您需要在命令行环境下执行它,查询命令行的方式是 oldcmp /?


----- gnaw0725


您好!


根据我的经验,您可以在DC上安装AcctInfo.dll工具来查看用户最近的登录时间,具体的操作方法如下:


1、下载Account Lockout and Management Tools,下载的链接如下:


http://www.microsoft.com/downloa ... &displaylang=en


2、将该工具解压到一个临时文件夹,然后将该文件夹中的AcctInfo.dll文件拷贝到DC上的%systemroot%\system32文件夹中;


3、然后在DC的命令行中运行下面的命令:regsvr32 acctinfo.dll;


4、打开活动目录用户和计算机,选择一个用户;


5、选择属性,点击additional account info按钮,


6、在下面部分,您可以查看该用户的登录时间。


有关如何使用AcctInfo.dll工具的更多信息,请您参考下面的链接中的“The AcctInfo.dll Tool”:


http://technet2.microsoft.com/Wi ... d1033.mspx?mfr=true


打赏

本文链接:https://www.kinber.cn/post/1648.html 转载需授权!

分享到:


推荐本站淘宝优惠价购买喜欢的宝贝:

image.png

 您阅读本篇文章共花了: 

群贤毕至

访客