Identificere forældede Active Directory-computerkonti med dsquery

En frustrerende husholdningsopgave for Active Directory er at sikre, at gamle computerkonti (normalt servere, stationære pc'er eller laptops inden for Active Directory) fjernes. Et hurtigt kig på fanen Objekt på en computerkonto fortæller dig, hvornår opdateringssekvensnummeret (USN) blev opdateret, men ikke sidste gang computeren logger ind på domænet. Nogle mulige årsager til, at uaktuelle computerkonti kommer ind i Active Directory, inkluderer, at en virtuel testmaskine bortskaffes, en gammel server trækkes tilbage, eller en server opgraderes, og den gamle holdes fast i alle tilfælde.

Der er et par måder at identificere, om en computerkonto i Active Directory er uaktuelt. Den fremgangsmåde, jeg anbefaler, er at oprette en politik for dit Active Directory-domæne, der forklarer reglerne; grundlæggende, hvis en computerkonto af en hvilken som helst type ikke logger på i en bestemt periode, kan computerkontoen muligvis fjernes.

Problemet her er fjernsystemer, såsom en bærbar computer, hvor den tilsvarende bruger muligvis kan gøre alt, hvad de har brug for via en webapplikation; bør du overveje dette, før du udfører engros-kontosletninger. Yderligere anbefaler jeg følgende iscenesat tilgang, hvis der er mange spørgsmål om Active Directory-domænet, og der skal gøres grundlæggende husholdning:

  1. Indstil en tærskel for tid, hvor forældede konti skal fjernes (for eksempel to måneder).
  2. Flyt de potentielt forældede konti til en ny organisationsenhed (OU) og deaktiver dem.
  3. Kør en ekstra tærskel for uaktuelle konti, der har været i denne OU i en ekstra måned, og slet dem.
I mit personlige laboratorium kørte jeg kommandoen dsquery for at se, hvor mange computerkonti der har været inaktiv i to måneder (repræsenteret som otte uger i denne kommando som illustreret i figur A ). Figur A

Klik på billedet for at forstørre det.

Kommandoen dsquery computer-inactive 8 kører for hele det aktuelle domænes domæne. Yderligere parametre, såsom kun forespørgsel efter specificerede OU'er, kan udføres for at målrette mod bestemte områder, f.eks. Gamle serverkonti. Hvis en af ​​computere i resultatet derefter logger sin computerkonto på Active Directory, ville dsquery ikke returnere den ved den næste iteration, hvis dens aktivitet nu var inden for tærsklen. Som en sikkerhedsforanstaltning kan du køre denne rapport kvartalsvis og identificere de konsekvent inaktive konti for at rydde op i etaper og for yderligere at få et greb om din computerkontos adfærd.

Du kan finde flere oplysninger om dsquery i TechRepublic-artiklen SolutionBase: Brug af kommandoen Dsquery i Windows Server 2003.

Hvordan administrerer du forældede computerkonti i Active Directory? Fortæl os det i diskussionen.

© Copyright 2020 | mobilegn.com