如何查找并删除域中多余的计算机帐号?
如何查找并删除域中多余的计算机帐号?
引子:
对我们广大网络管理员来说,用户帐号和计算机帐号的管理是我们最长见也是最难管理一
项工作。我们知道频繁的系统重装和加入域的过程会导致产生大量无效计算机帐号,如何
清理这些无效计算机帐号就成为了一个难题。NQ:
如何查找并删除域中多余的计算机帐号?NA:如果我们的域是 Windows 2003 域,我们
可以通过 dsquery 命令的 inactive 参数排查出一段时间没有活动的计算机。
附件中包含两个 cmd 的文件,内容分别如下:NDisableComputer.CMDdsquery
computer -inactive 10 -stalepwd 70 |dsmod computer -disabled yes 查处 10 周
未登陆的机器以及 70 天未能更改域计算机密码的机器(数值可自行指定),然后把它们
设成 disabled。N备注:-inactive 指得是机器未 logon 的时间,-stalepwd 是机器密码未
改的时间,windows 2000 以上的机器默认为 30 天,我们可以两者结合来看看哪些是非
active 的机器。如果要用-inactive 参数,需要 2003 纯模式。如果单单使用-
stalepwd,可以在混合模式下运行。Ndsquery 对于不活动时间越长的计算机越正确。造
成这一现象的原因是 Active Directory 是根据计算机是否验证身份来判断其是否活动的。
一台 1 个月没有开机的计算机当然是不活动的,但是一台开机但是一个月无人操作的计算
机也会被判断为不活动的,而第二种情况在服务器上是比较常见的(比如文件共享服务
器)。所以我们不能根据 dsquery 结果立刻删除计算机帐号,还需要做一些验证工作(比
如查询这一计算机名的 IP)。NDeleteComputer.CMDdsquery computer -
disabled | dsrm –noprompt 查出禁用机器然后删掉。备注:建议在使用
DisableComputer.CMD 两周之后,没有用户报错的情况下再使用
DeleteComputer.CMD 来删除域中多余的计算机帐号