我们有一个中等规模的 AD 安装,大约有 1000 名员工,可能有 1800 个有效的计算机帐户(服务器、PC、虚拟机)。因为我们每 3-4 年更换一次桌面硬件,所以清理旧的计算机帐户是一项必要的任务,但通常会被推迟。我们目前有 3200 个帐户!)。我们有一个强大的流程来识别未使用的用户帐户并禁用/删除它们,但对于计算机帐户却没有任何流程。
我们了解 oldcomp、powershell 等工具,甚至有一个使用 dsquery 和 dsrm 来处理这个问题的 Windows 批处理脚本,但我们实际上还没有将任何东西投入生产。
我的问题很简单——您使用什么流程来清理这些帐户?
答案1
PowerShell + dsquery。真的。管道很短,运行速度很快。使用 DSQuery 生成 $days 内未登录的计算机帐户列表,通过我们正在运行的任何例外列表运行它,然后通过 dsrm 发送输出。效果很好,我们甚至可以创建一个日志文件,显示哪些机器在何时被删除。
答案2
我的第一个想法是 - 不要把禁用计算机帐户放在次要位置,如果这会引起以后的担忧。只需将其作为禁用计算机帐户的程序(例如,将它们移动到 Unused Comps OU)。
此外,我们仍然检查 AD,除了 powershell 之外,我们还使用 ADtidy,这是一个简单但非常有效的工具(http://www.cjwdev.co.uk/Software/ADTidy/Info.html)我们手动运行,但我们在共享日历中有一个提醒 - 这样就可以定期完成这项任务(每 4 个月一次对我们来说就可以了)