我将使用一些 DSQUERY/DSMOVE 脚本来清理我的 AD Domin。一种选择是将不活动的对象移动到已应用限制性 GPO 的 OU。
就像是:
DSQUERY computer -inactive 10 | DSMOVE -newparent <distinguished name of target OU>
我的问题是,什么值将对象(包括用户和计算机)定义为在一段时间内处于“不活动”状态?对于计算机帐户来说,这是计算机最后一次登录的时间吗?对于用户来说,这是用户帐户最后一次登录计算机的时间吗?
但是,假如我有一个网络服务器,几个月没有重新启动或登录,但仍保持开机并正常运行,它是否会被定义为“不活动”,而从技术上讲它仍然在提供网页等服务?
谢谢您的帮助!
答案1
嗯,如果你运行dsquery user /?它,它会告诉你这个
-inactive 查找至少几周处于不活动状态(未登录)的用户。
对于计算机来说,它只是说“过时”,所以我们可以假设它是同一件事——自域看到该计算机帐户得到身份验证以来的时间量。
对于您的假设,我确信一台已开机并连接良好的计算机不会显示为过时。GPO 刷新和 Kerberos 超时等因素会导致后台活动,我确信这些因素会刷新任何存在的“过时”计数器。
答案2
此属性应基于 lastlogonTimestamp。请参阅 JOE (MVP) 的帖子
“http://technet.microsoft.com/en-us/library/cc725702(WS.10).aspx
dsquery 使用 lastLogonTimeStamp 属性。此属性仅在 Windows Server 2003 DFL 模式下使用,并且不是最新的,默认情况下会最多关闭 7 天。
至于 Exchange 资源邮箱。没有保证干净的通用方法来查找哪些正在使用或未使用的邮箱。在我的实际工作中,我是一家消息服务组织的高级顾问,我们的团队共同管理着全球许多最大公司的数百万个邮箱。这个问题我们一直在寻找一个有保证的解决方案,但没有一个。如果您了解资源邮箱的使用方式,您可能能够找到在本地有效的方法……例如,您可能能够查看跟踪日志,如果没有邮件进出,则意味着它们未被使用。邮箱有一个登录属性,但当它使用 AV 或其他项目扫描邮箱时,它会由本地系统更新,当其他人查看日历或委派文件夹时,它也会更新。
乔
-- Joe Richards Microsoft MVP Windows Server 目录服务 O'Reilly Active Directory 第三版的作者 www.joeware.net “