Jump to content

AD alte Computer entfernen


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Servus,

 

das kannst Du unter Windows Server 2003 z.B. mit dsquery herausfinden (gepipet mit DSRM kannst du es dann gleich löschen):

Wie finde ich inaktive Computerkonten? - faq-o-matic.net

 

Oder folgendermaßen:

Wie bekomme ich heraus, wann ein User sich zuletzt ans AD angemeldet hat? - faq-o-matic.net

 

Entfernen kannst Du die Computerkonten, entweder mit diesem Skript:

How to detect and remove inactive machine accounts

 

Oder mit dem Tool OldCmp:

Free Tools

 

oder mit diesem Skript:

Move Old Computers

Link zu diesem Kommentar
Servus,

 

das kannst Du unter Windows Server 2003 z.B. mit dsquery herausfinden (gepipet mit DSRM kannst du es dann gleich löschen):

Wie finde ich inaktive Computerkonten? - faq-o-matic.net

 

Oder folgendermaßen:

Wie bekomme ich heraus, wann ein User sich zuletzt ans AD angemeldet hat? - faq-o-matic.net

 

Entfernen kannst Du die Computerkonten, entweder mit diesem Skript:

How to detect and remove inactive machine accounts

 

Oder mit dem Tool OldCmp:

Free Tools

 

oder mit diesem Skript:

Move Old Computers

 

 

Das AD reinigt sich selber über den garbage collector mann solte lieber warten, und Tools zum bearbeiten von AD nur im äussersten Notfall einsetzen! Denn diese setzen einiges an wissen voraus.

Link zu diesem Kommentar
Das AD reinigt sich selber über den garbage collector mann solte lieber warten, und Tools zum bearbeiten von AD nur im äussersten Notfall einsetzen! Denn diese setzen einiges an wissen voraus.

 

Naja so ist das nicht, das selbstreinigen betrifft nur getombstonte Objekte, also diejenigen objekte die zwar noch in der Datenbank sind, aber als gelöscht markiert sind.

Siehe dazu: The Active Directory database garbage collection process

 

Wenn Du aber nichts löscht, dann wird auch nihcts vom Garbage collecting erfaßt.

Link zu diesem Kommentar
Naja so ist das nicht, das selbstreinigen betrifft nur getombstonte Objekte, also diejenigen objekte die zwar noch in der Datenbank sind, aber als gelöscht markiert sind.

Siehe dazu: The Active Directory database garbage collection process

 

Wenn Du aber nichts löscht, dann wird auch nihcts vom Garbage collecting erfaßt.

 

Aber werden die Computer nicht nach einer bestimmten Zeit automatisch gelöscht oder aktuallisiert?

Link zu diesem Kommentar

nein,

ein Computer erneuert alle 30 Tage sein Paßwort wobei es mit pasword history auch bis zu 60 Tage sein können. was Du eventuell machen kannst ist, mittels einer ldap abfrage oder mit dsquery alle computer abfragen und diejenigen die im attribut password last set einen wert von sagen wir 68 tagen haben herausfiltern. Die kannst du dann ruhig löschen,d a sie sich gegen die domain nicht mehr authentifizieren können.

Link zu diesem Kommentar
Das AD reinigt sich selber über den garbage collector

 

Der Garbage Collector Prozess defragmentiert z.B. die AD-DB (NTDS.DIT) online oder löscht endgültig die gelöschten Objekt, bei denen die Tombstone Lifetime abgelaufen ist. Der Prozess löscht aber keine Computerobjekte!

 

 

mann solte lieber warten, und Tools zum bearbeiten von AD nur im äussersten Notfall einsetzen!

 

Prinzipiell sollte man immer vorsichtig sein und es vorher in einer Testumgebung es testen.

Aber hast du dir die Artikel bzw. Tools mal angeschaut? Nein, dann bitte nachholen.

 

 

Denn diese setzen einiges an wissen voraus.

 

JEDE Tätigkeit setzt ein wissen voraus. Sogar wenn man auf das WC muss.

SCNR!

Link zu diesem Kommentar

Huhuu Kohn,

 

ja, die Tools vom AD-Meister "Joe Richards" sind legendär.

Der OP schrieb jedoch, Zitat:

 

Mein Problem ist das ich nicht nach Passwort Alter gehen kann.

 

 

Das trifft z.B. bei Aussendienstlern die selten im Netz sind zu.

Bei denen würden dann die Computerkonten ebenfalls entfernt werden, wenn man nach dem Kriterium des Computerkennworts gehen würde.

Das wäre natürlich nicht schön bzw. garnicht wünschenswert.

Link zu diesem Kommentar

Wenn man ne richtige Naming-Policy hat seh ich da, das Problem nicht.

 

Außendienstler:

Mobile-01

Mobile-02

 

Innendienstler:

PC-01

PC-02

 

Außendienstler unterschreibt für sein Gerät bei Austritt aus der Organisation muss von der Personal-Abteilung nachricht an IT kommen. Computer-Acc, Benutzer-Acc etc... sperren bzw. löschen...wie auch immer.

 

Wenn es eine solche Naming-Policy nicht gibt, sitzt das Problem tiefer.

 

LG Gadget

Link zu diesem Kommentar

Das mit den Aussendienstlern war von mir auch ein "leichtes" Beispiel.

Die Anforderugn des OPs kann ja ganz anders aussehen.

Das Abteilungen für X-Monate auf Projekt sind und nicht mit der Domäne verbunden sind usw.

 

Da gibt es sicherlich noch andere Gründe, wo eben das löschen der Computerkonten, sich nicht so einfach durchführen lässt.

Link zu diesem Kommentar
Wenn man ne richtige Naming-Policy hat seh ich da, das Problem nicht.

 

Außendienstler:

Mobile-01

Mobile-02

 

Innendienstler:

PC-01

PC-02

 

Außendienstler unterschreibt für sein Gerät bei Austritt aus der Organisation muss von der Personal-Abteilung nachricht an IT kommen. Computer-Acc, Benutzer-Acc etc... sperren bzw. löschen...wie auch immer.

 

Wenn es eine solche Naming-Policy nicht gibt, sitzt das Problem tiefer.

 

LG Gadget

 

mutterschaft, stillgelegtes arbeitsverhältnis, verliehener mitarbeiter... glaub mir das lässt sich nicht über ne namenskonvention abbilden. Entweder man hat da saubere Stammdaten oder man hat keine, und dann gibts nette Probleme... so wie das hier ;)

 

mmh gabs da nicht n feld mit LastLogin oder so?

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...