Jump to content
Sign in to follow this  
CMS79

AD alte Computer entfernen

Recommended Posts

Hallo

 

ich suche nach einer Möglichkeit herauszufinden welche Computer Altlasten sind und aus dem AD entfernt werden können.

 

Was für Möglichkeiten gibt es?

 

Vielen Dank für eure Hilfe.

 

Gruß

CMS

Share this post


Link to post

Falls DHCP-Reservierungen für alle Rechner geschalten sind einfach alle anmachen, in die AD gehen, schauen welche Reservierungen aktiv bzw. inaktiv sind und die inaktiven dann einfach löschen bzw. die jeweiligen PC´s (steht in der Beschreibung). -Bin mir damit zwar nicht ganz sicher aber so könnte es funktionieren.

Share this post


Link to post

Servus,

 

das kannst Du unter Windows Server 2003 z.B. mit dsquery herausfinden (gepipet mit DSRM kannst du es dann gleich löschen):

Wie finde ich inaktive Computerkonten? - faq-o-matic.net

 

Oder folgendermaßen:

Wie bekomme ich heraus, wann ein User sich zuletzt ans AD angemeldet hat? - faq-o-matic.net

 

Entfernen kannst Du die Computerkonten, entweder mit diesem Skript:

How to detect and remove inactive machine accounts

 

Oder mit dem Tool OldCmp:

Free Tools

 

oder mit diesem Skript:

Move Old Computers

Share this post


Link to post

Vielen Dank!

 

Ich werde mal sehen was davon funktioniert.

Mein Problem ist das ich nicht nach Passwort Alter gehen kann.

 

Gruß

CMS

Share this post


Link to post
Servus,

 

das kannst Du unter Windows Server 2003 z.B. mit dsquery herausfinden (gepipet mit DSRM kannst du es dann gleich löschen):

Wie finde ich inaktive Computerkonten? - faq-o-matic.net

 

Oder folgendermaßen:

Wie bekomme ich heraus, wann ein User sich zuletzt ans AD angemeldet hat? - faq-o-matic.net

 

Entfernen kannst Du die Computerkonten, entweder mit diesem Skript:

How to detect and remove inactive machine accounts

 

Oder mit dem Tool OldCmp:

Free Tools

 

oder mit diesem Skript:

Move Old Computers

 

 

Das AD reinigt sich selber über den garbage collector mann solte lieber warten, und Tools zum bearbeiten von AD nur im äussersten Notfall einsetzen! Denn diese setzen einiges an wissen voraus.

Share this post


Link to post
Das AD reinigt sich selber über den garbage collector mann solte lieber warten, und Tools zum bearbeiten von AD nur im äussersten Notfall einsetzen! Denn diese setzen einiges an wissen voraus.

 

Naja so ist das nicht, das selbstreinigen betrifft nur getombstonte Objekte, also diejenigen objekte die zwar noch in der Datenbank sind, aber als gelöscht markiert sind.

Siehe dazu: The Active Directory database garbage collection process

 

Wenn Du aber nichts löscht, dann wird auch nihcts vom Garbage collecting erfaßt.

Share this post


Link to post
Naja so ist das nicht, das selbstreinigen betrifft nur getombstonte Objekte, also diejenigen objekte die zwar noch in der Datenbank sind, aber als gelöscht markiert sind.

Siehe dazu: The Active Directory database garbage collection process

 

Wenn Du aber nichts löscht, dann wird auch nihcts vom Garbage collecting erfaßt.

 

Aber werden die Computer nicht nach einer bestimmten Zeit automatisch gelöscht oder aktuallisiert?

Share this post


Link to post

nein,

ein Computer erneuert alle 30 Tage sein Paßwort wobei es mit pasword history auch bis zu 60 Tage sein können. was Du eventuell machen kannst ist, mittels einer ldap abfrage oder mit dsquery alle computer abfragen und diejenigen die im attribut password last set einen wert von sagen wir 68 tagen haben herausfiltern. Die kannst du dann ruhig löschen,d a sie sich gegen die domain nicht mehr authentifizieren können.

Share this post


Link to post
Das AD reinigt sich selber über den garbage collector

 

Der Garbage Collector Prozess defragmentiert z.B. die AD-DB (NTDS.DIT) online oder löscht endgültig die gelöschten Objekt, bei denen die Tombstone Lifetime abgelaufen ist. Der Prozess löscht aber keine Computerobjekte!

 

 

mann solte lieber warten, und Tools zum bearbeiten von AD nur im äussersten Notfall einsetzen!

 

Prinzipiell sollte man immer vorsichtig sein und es vorher in einer Testumgebung es testen.

Aber hast du dir die Artikel bzw. Tools mal angeschaut? Nein, dann bitte nachholen.

 

 

Denn diese setzen einiges an wissen voraus.

 

JEDE Tätigkeit setzt ein wissen voraus. Sogar wenn man auf das WC muss.

SCNR!

Share this post


Link to post

Huhuu Kohn,

 

ja, die Tools vom AD-Meister "Joe Richards" sind legendär.

Der OP schrieb jedoch, Zitat:

 

Mein Problem ist das ich nicht nach Passwort Alter gehen kann.

 

 

Das trifft z.B. bei Aussendienstlern die selten im Netz sind zu.

Bei denen würden dann die Computerkonten ebenfalls entfernt werden, wenn man nach dem Kriterium des Computerkennworts gehen würde.

Das wäre natürlich nicht schön bzw. garnicht wünschenswert.

Share this post


Link to post

Wenn man ne richtige Naming-Policy hat seh ich da, das Problem nicht.

 

Außendienstler:

Mobile-01

Mobile-02

 

Innendienstler:

PC-01

PC-02

 

Außendienstler unterschreibt für sein Gerät bei Austritt aus der Organisation muss von der Personal-Abteilung nachricht an IT kommen. Computer-Acc, Benutzer-Acc etc... sperren bzw. löschen...wie auch immer.

 

Wenn es eine solche Naming-Policy nicht gibt, sitzt das Problem tiefer.

 

LG Gadget

Share this post


Link to post

Das mit den Aussendienstlern war von mir auch ein "leichtes" Beispiel.

Die Anforderugn des OPs kann ja ganz anders aussehen.

Das Abteilungen für X-Monate auf Projekt sind und nicht mit der Domäne verbunden sind usw.

 

Da gibt es sicherlich noch andere Gründe, wo eben das löschen der Computerkonten, sich nicht so einfach durchführen lässt.

Share this post


Link to post
Wenn man ne richtige Naming-Policy hat seh ich da, das Problem nicht.

 

Außendienstler:

Mobile-01

Mobile-02

 

Innendienstler:

PC-01

PC-02

 

Außendienstler unterschreibt für sein Gerät bei Austritt aus der Organisation muss von der Personal-Abteilung nachricht an IT kommen. Computer-Acc, Benutzer-Acc etc... sperren bzw. löschen...wie auch immer.

 

Wenn es eine solche Naming-Policy nicht gibt, sitzt das Problem tiefer.

 

LG Gadget

 

mutterschaft, stillgelegtes arbeitsverhältnis, verliehener mitarbeiter... glaub mir das lässt sich nicht über ne namenskonvention abbilden. Entweder man hat da saubere Stammdaten oder man hat keine, und dann gibts nette Probleme... so wie das hier ;)

 

mmh gabs da nicht n feld mit LastLogin oder so?

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...