AD alte Computer entfernen

[CMS79]

Hallo

ich suche nach einer Möglichkeit herauszufinden welche Computer Altlasten sind und aus dem AD entfernt werden können.

Was für Möglichkeiten gibt es?

Vielen Dank für eure Hilfe.

Gruß
CMS

[ollerBastard]

Falls DHCP-Reservierungen für alle Rechner geschalten sind einfach alle anmachen, in die AD gehen, schauen welche Reservierungen aktiv bzw. inaktiv sind und die inaktiven dann einfach löschen bzw. die jeweiligen PC´s (steht in der Beschreibung). -Bin mir damit zwar nicht ganz sicher aber so könnte es funktionieren.

[Daim]

Servus,

das kannst Du unter Windows Server 2003 z.B. mit dsquery herausfinden (gepipet mit DSRM kannst du es dann gleich löschen):
Wie finde ich inaktive Computerkonten? - faq-o-matic.net

Oder folgendermaßen:
Wie bekomme ich heraus, wann ein User sich zuletzt ans AD angemeldet hat? - faq-o-matic.net

Entfernen kannst Du die Computerkonten, entweder mit diesem Skript:
How to detect and remove inactive machine accounts

Oder mit dem Tool OldCmp:
Free Tools

oder mit diesem Skript:
Move Old Computers

[CMS79]

Vielen Dank!

Ich werde mal sehen was davon funktioniert.
Mein Problem ist das ich nicht nach Passwort Alter gehen kann.

Gruß
CMS

[satan]

Zitat von Daim Servus, das kannst Du unter Windows Server 2003 z.B. mit dsquery herausfinden (gepipet mit DSRM kannst du es dann gleich löschen): Wie finde ich inaktive Computerkonten? - faq-o-matic.net Oder folgendermaßen: Wie bekomme ich heraus, wann ein User sich zuletzt ans AD angemeldet hat? - faq-o-matic.net Entfernen kannst Du die Computerkonten, entweder mit diesem Skript: How to detect and remove inactive machine accounts Oder mit dem Tool OldCmp: Free Tools oder mit diesem Skript: Move Old Computers

Das AD reinigt sich selber über den garbage collector mann solte lieber warten, und Tools zum bearbeiten von AD nur im äussersten Notfall einsetzen! Denn diese setzen einiges an wissen voraus.

[amichel]

Zitat von satan Das AD reinigt sich selber über den garbage collector mann solte lieber warten, und Tools zum bearbeiten von AD nur im äussersten Notfall einsetzen! Denn diese setzen einiges an wissen voraus.

Naja so ist das nicht, das selbstreinigen betrifft nur getombstonte Objekte, also diejenigen objekte die zwar noch in der Datenbank sind, aber als gelöscht markiert sind.
Siehe dazu: The Active Directory database garbage collection process

Wenn Du aber nichts löscht, dann wird auch nihcts vom Garbage collecting erfaßt.

[satan]

Zitat von amichel Naja so ist das nicht, das selbstreinigen betrifft nur getombstonte Objekte, also diejenigen objekte die zwar noch in der Datenbank sind, aber als gelöscht markiert sind. Siehe dazu: The Active Directory database garbage collection process Wenn Du aber nichts löscht, dann wird auch nihcts vom Garbage collecting erfaßt.

Aber werden die Computer nicht nach einer bestimmten Zeit automatisch gelöscht oder aktuallisiert?

[amichel]

nein,
ein Computer erneuert alle 30 Tage sein Paßwort wobei es mit pasword history auch bis zu 60 Tage sein können. was Du eventuell machen kannst ist, mittels einer ldap abfrage oder mit dsquery alle computer abfragen und diejenigen die im attribut password last set einen wert von sagen wir 68 tagen haben herausfiltern. Die kannst du dann ruhig löschen,d a sie sich gegen die domain nicht mehr authentifizieren können.

[Daim]

Zitat von satan Das AD reinigt sich selber über den garbage collector

Der Garbage Collector Prozess defragmentiert z.B. die AD-DB (NTDS.DIT) online oder löscht endgültig die gelöschten Objekt, bei denen die Tombstone Lifetime abgelaufen ist. Der Prozess löscht aber keine Computerobjekte!

mann solte lieber warten, und Tools zum bearbeiten von AD nur im äussersten Notfall einsetzen!

Prinzipiell sollte man immer vorsichtig sein und es vorher in einer Testumgebung es testen.
Aber hast du dir die Artikel bzw. Tools mal angeschaut? Nein, dann bitte nachholen.

Denn diese setzen einiges an wissen voraus.

JEDE Tätigkeit setzt ein wissen voraus. Sogar wenn man auf das WC muss.
SCNR!

[Gadget]

Hallo,

Meine bevorzugte Lösung = Oldcmp:
http://www.mcseboard.de/tipps-links-...zer-90516.html (OldCmp - Reporting / Deaktivierung / Löschung veralteter Computerkonten u. (Benutzer))

LG Gadget