AD中指定非活動周期賬戶及計算機的查詢及導出

2017-11-25 23:50:00

長時間非活動的計算機是 AD中的垃圾，如果企業規模大的話加上管理者沒及時删除對DC來說一大頭疼問題，或者說DC每天計劃備份都會多浪費時間，是以呢今天就通過腳本給DC清除不必要的垃圾。

通過Dsquery指令的inactive參數排查出指定時間内沒有活動的計算機

通過Dsquery /?可查詢相關的操作

備注：-inactive指得是機器未logon的時間，-stalepwd是機器密碼未改的時間，-disable是禁用的資訊, –noprompt指的是在執行相關的操作不會提示确認資訊

Dsquery對于不活動時間越長的計算機越準，因為Active Directory是根據計算機是否驗證身份來判斷其是否活動的。可以說一台保持開機狀态但是沒有通過驗證及操作的計算機也會被判定為不活動的，對于這個問題在伺服器方面比較多見，比如檔案共享伺服器；

是以我們不能根據Dsquery結果立刻删除計算機帳号及使用者賬戶，我們還需要做一些驗證工作（比如通過Ping、remote的方式驗證）。

以下介紹幾種常見操作：

Dsquery computer –inactive 1 (查詢一周内沒有活動的計算機)

Dsquery computer -disabled | dsrm –noprompt （查出禁用的計算機然後删掉）

Dsquery user –inactive 1 (查詢一周内沒有活動的使用者)

Dsquery user -disabled | dsrm –noprompt （查出禁用的使用者然後删掉）

建議：建議在使用DisableComputer.CMD兩周之後，沒有使用者報錯的情況下再使用DeleteComputer.CMD來删除域中多餘的計算機帳号。

Dsquery computer –inactive *（查出指定周期内沒有活動的計算機，*代表指定周期，該周期以周來計算；比如1周=7天）

Dsquery user –inactive *（查出指定周期内沒有活動的使用者）

備注：如果要想在檢視後執行相關的删除任務同在檢視任務後添加 | dsrm即可

dsquery computer -inactive 10 -stalepwd 70 |dsmod computer -disabled yes 查處10周未登陸的機器以及70天未能更改域計算機密碼的機器（數值可自行指定），然後把它們設成disabled。

小貼士：

如果停用、删除的賬戶時使用者超過預設數值（100）的話，會提示以下資訊：

Dsquery computer –inactive （20周=140天) –limit 1000000 （按照實際情況去定義，此值定義越大越完整）&gt;&gt; c:\123.txt

加上-subtree參數。例如：

dsquery computer -disabled | dsrm -noprompt -subtree

查詢8周未登陸機器，未慎重起見，把結果導出到檔案先核對，出現下列錯誤：

說明通過檢視隻要數量超過1預設值（100）都會提示該資訊

dsquery computer -inactive 8 &gt;&gt;c:\123.txt

加上-limit參數，例如：

dsquery computer -inactive 8 -limit 1000 &gt;&gt;c:\123.txt

将儲存的資訊儲存在C槽下，然後名稱為123的一個文本文檔

本文轉自高文龍 51CTO部落格，原文連結：http://blog.51cto.com/gaowenlong/845835，如需轉載請自行聯系原作者

繼續閱讀