Со временем Active Directory предприятия, особенно крупного, засоряется объектами, которые давно не используются. Это могут быть отключенные учетные записи, учетные записи компьютеров, потерянных из доменов, группы безопасности, уже не нужные и не использующиеся и т.д.
Вручную просмотреть объекты Active Directory и найти среди них старые, давно не использующиеся (не активные) элементы - работа затратная по времени, а для предприятия в несколько сотен, а то и тысяч пользователей - просто нереальная.
В этом топике я покажу - как найти все устаревшие записи в домене.
Нам понадобится утилита dsquery, которая поставляется в комплекте набора утилит Windows Server 2003 Support Tools. Этот набор идет вместе с Service Pack 2 для Windows Server (т.е. Windows Server 2003 SP2 уже имеет его встроенным, как и Windows Server 2003 R2 и Windows Server 2008, в т.ч. R2).
Все команды нужно вводить в окне CMD (Пуск -> Выполнить -> CMD). Запускайте утилиту на одном из Ваших контроллеров домена.
Неактивные компьютеры
dsquery computer -inactive 24 -limit 10000
Данная команда выведет список всех компьютеров, учетные записи которых не использовались 24 недели или более. Параметр -inactive принимает значение в виде числа недель, которое простаивает учетная запись.
-limit 10000 переопределяет количество объектов, выводимых утилитой. По-умолчанию это 100.
А следующий вывод будет выполнен в текстовый файл, который Вы можете просмотреть в любое время:
dsquery computer -inactive 24 -limit 10000 > C:\result.txt
Неактивные пользователи
dsquery user -inactive 12 -limit 10000
Эта команда найдет всех пользователей, неактивных последние 12 недель (т.е. пользователей, не входивших в систему за это время).
Автоматически удалить неактиывные компьютеры или пользователейУдаляем компьютеры, учетные записи которых не использовали дольше 24 недель:
dsquery computer -inactive 24 -limit 10000 | dsrm -noprompt
Удаляем пользователей, учетные записи которых не использовали дольше 48 недель:
dsquery user -inactive 48 -limit 10000 | dsrm -noprompt
ВНИМАНИЕ! Очень аккуратно с автоматическим удалением - не ставьте слишком короткое время поиска, иначе можете получить ситуацию, когда человек отсутствует продолжительное время, но выйдет, а вы посчитали, что раз пару месяцев активности нет - то не должно быть и учетки.
БольшеА больше - по команде
dsquery /?
Она умеет показывать много больше, чем просто устаревшие записи
Комментарии
Оставить комментарий
Операционные системы и системное программировние
Термины: Операционные системы и системное программировние