公司的域运行到现在,已经超过了3年,在使用的过程中,不断往里面添加用户账户和计算机账户,中途经常发生电脑系统坏掉,重装系统的事情,最要命的是电脑命名规则该了好几次,所以,在计算机这个容器里面,同一台电脑可能会拥有1条以上的记录(旧命名规则和新命名规则都有记录),当然只有1条是有效的;让人同样困扰的还有用户账户,有人离职后,他的登陆账户可能会转给新来的同事,也可能就此废弃,无人使用.这些没有使用的电脑和用户账户都是垃圾,如果放在那里对用户的正常使用当然没有什么影响,不过每次看到总觉得有种无力感:人工去清理吧,工作量太大,现在每天都忙于其它事情,根本没时间做这个事情;不理它吧,看着就觉得自己失败.
经过一番查找与试用,觉得active directory janitor这个软件不错,正好符合我的需求,将没有使用的计算机账户和用户账户"一网打尽",使我们的域和OU的架构更能反映公司现在的人员情况,也降低了服务器的负荷(涉及到组策略).由于每个电脑和用户对象都有自己的SID号,而且删除了也不会多出来给新的对象使用,所以,最佳的方案是在AD中新建两个OU,分别命名为"已停用的电脑账户"和"已停用的用户账户",然后,把那些现在没有使用的电脑账户和用户账户停用后放到这两个OU里面,这样,各部门现有人员就很清楚了,也就达到了我们的目的.事实上,ad janitor这个软件可以很方便的帮我们实现查找/停用/移动的动作.
好了,下面只谈技术.先认识下adj的界面,相关图片如下:
我们先清理下过期的计算机账户,选择scan computers,界面变成让我们选择清理计算机账户的范围,一般根据OU来就可以了.相关图片如下:
然后,让我们选择需要扫描哪些属性值,这里根据自己需要选择,建议必选ping / last logon / Disabled 以做筛选之用.相关图片如下:
按scan 进入到扫描界面,注意左上角的start scanning按钮,必须按一下,不然它不会工作的,呵呵.
把那些ping的结果显示为Not in Dns的计算机对象选中,然后把它们disable和move到我们指定的OU里面,就完成了对computers对象的清理.至于为什么清理那些dns记录里面没有的电脑记录,那是因为域里面的电脑每次启动的时候都会到dns服务器去注册自己的A记录,如果超过一定的天数这个A记录没有更新的话,dns服务器会自动将这条A记录给删除掉,并在全部域内的DNS服务器间同步.所以,基本上,not in dns就是说,这台电脑已经非常久的时间没有开机了,最大的可能就是,叫这个名字的电脑已经不存在了.相关图片如下:
关于对users账户的清理,和上面将的对computers账户的清理大同小异,将它们禁用后移动到"已禁用的用户账户"这个OU里面去,这里就不详述了.注意,对它清理的依据是last longon,也就是根据用户账户上次的登陆时间来进行判断,登陆时间显示为空的表示从来就没有登陆过.相关图片如下:
分享到:
相关推荐
AD无用的计算机账号删除工具
立刻接受的了看风景是独立开发离开就是立刻打飞机了盛大积分是
AD技巧之指定用户登录和指定计算机登陆
接下来我要把AD中超过60天没有更新计算机账户密码的计算机账户挑选出来并禁用,等过一段时间,若没有用户报告出现问题,就可以统统从域中清除了。 注:默认情况下,计算机账户密码每30天自动更新一次。那也就是说我...
AD组策略使用技巧-如何实现超过非活动时间后注销域计算机
AD域linux集群密码过期自动提醒的配置。
验证AD域账号登陆,获取AD域用户列表,获取用户邮箱,修改密码等AD域操作
hta代码文件,可以查看windows活动目录(AD)中的用户的密码到期时间,非常的好用。找了好长时间,推荐收藏,推荐DIY。
LDAP实现AD域账号验证
AD-解锁/禁用/用户工具-解锁被锁定的AD账户-禁用AD账户以及 修改密码 支持 解锁、禁用、修改域账号密码 如果需要其他功能请联系我 我在添加谢谢大家支持有问题反馈我处理
ad元件库ad元件库ad元件库ad元件库ad元件库ad元件库ad元件库ad元件库ad元件库ad元件库ad元件库ad元件库ad元件库ad元件库ad元件库ad元件库ad元件库ad元件库ad元件库ad元件库ad元件库ad元件库ad元件库ad元件库ad元件库...
计算机控制技术AD与DA转换实验.pdf计算机控制技术AD与DA转换实验.pdf计算机控制技术AD与DA转换实验.pdf计算机控制技术AD与DA转换实验.pdf计算机控制技术AD与DA转换实验.pdf计算机控制技术AD与DA转换实验.pdf
多个OU下批量创建AD账户并加入群组的脚本及模板。。。
详细分析AD账号 lockout的几种可能性 制定相关解决方案对账号进行解锁。
AD域密码过期邮件提醒,在域计算机设置域帐号密码过期将自动发邮件通知用户,在任务计划添加定时任务,使用bat脚本再调用powshell脚本。bate脚本内容powershell "D:\script\jbo.ps1
提供AD的添加账号,删除账号,修改账号(修改密码)功能,附有详细代码
AD账号解锁工具,可以查看解锁账号及服务器,解锁原因等信息
AD域备份和恢复方法AD域备份和恢复方法AD域备份和恢复方法AD域备份和恢复方法
2.2管理AD DS中的组账号 2.3 管理身份验证(NFS权限) 2.4 管理AD DS中的计算机对象 2.5 使用Windows PowerShell管理AD DS 2.6实现和管理OU 2.7演示:在OU上委派管理权限 3.1AD DS复制概述 3.2 演示:复制冲突 3.3 ...
从OU中获取组,联系人和计算机; 按天数获取不活动的计算机; 记录管理员的所有操作到数据库,并可查看日志; 批量测试AD用户密码(默认为锁定),用于测试AD用户是否使用了简单密码; 检查用户在所有域控上的锁定...