Limpar o Active Directory [fechado]

Você já tem todas as ferramentas necessárias no seu controlador de domínio. O comando principal que você deseja usar é DSQUERY . Para encontrar objetos que ficaram inativos por 52 semanas, abra uma janela do CMD e digite:

DSQUERY computer -inactive 52
DSQUERY user -inactive 52

Você também pode pesquisar por senhas obsoletas usando a opção -stalepwd <num of days> em vez de -inactive . Você também pode pesquisar contas desativadas usando a -disabled switch

Se você quiser levá-lo para o próximo nível, você pode movê-lo automaticamente para uma UO de sua escolha (onde é possível analisar o que há antes de executar qualquer outra ação) canalizando os resultados para o DSMOVE comando assim:

DSQUERY computer -inactive 52 | DSMOVE -newparent <distinguished name of target OU>

Aqui estão todos os comandos internos do DS para experimentar:

dsadd /? - help for adding objects.
dsget /? - help for displaying objects.
dsmod /? - help for modifying objects.
dsmove /? - help for moving objects.
dsquery /? - help for finding objects matching search criteria.
dsrm /? - help for deleting objects.

OldCmp da JoeWare se acostuma muito, simples ferramenta de linha de comando que cria relatórios da web de Usuários e computadores que não se autenticaram na rede há algum tempo. Também pode excluí-los do AD para você.

Na minha posição anterior, uma rede global com cerca de 15.000 usuários, nós executávamos um arquivo de lote a cada mês usando o comando dsmove, como Izzy descreveu, para mover todas as contas de usuário e máquina inativas para uma área de espera. Um operador periodicamente verificaria manualmente essas contas em relação a uma lista de usuários sabidamente em licença prolongada e excluiria qualquer um que não estivesse nessa lista. O que anteriormente era uma operação manual demorada tornou-se uma tarefa semi-automática simples, levando apenas alguns minutos por mês.