Temos uma instalação de AD de tamanho moderado com aproximadamente 1.000 funcionários e talvez 1800 contas de computador válidas (servidores, PCs, virtuais). Como substituímos o hardware da área de trabalho em um ciclo de 3 a 4 anos, a limpeza de contas de computador antigas é uma tarefa necessária que geralmente é adiada. Atualmente, temos 3200 contas!). Temos um processo robusto para identificar contas de usuários não utilizadas e desativá-las / excluí-las, mas nada para contas de computador.
Nós sabemos sobre ferramentas como oldcomp, powershell, etc e até temos um script de lote do windows que usa dsquery e dsrm para lidar com isso, mas na verdade não produzimos nada.
Minha pergunta é simples: qual processo você usa para limpar essas contas?
PowerShell + dsquery. Mesmo. Pipeline muito curto, corre rápido. Use o DSQuery para gerar uma lista de contas de computador que não tenham efetuado login em $ days, executá-lo em qualquer lista de exceções que tenhamos e enviar a saída por meio do dsrm. Funciona um tratamento e podemos até criar um arquivo de log mostrando quais máquinas foram excluídas quando.
Meu primeiro pensamento inicial seria: não colocar contas de computador desabilitadas em segundo plano, se isso, em seguida, levanta preocupações mais tarde. Simplesmente faça um procedimento para desabilitar as contas de computador (e mova-as, por exemplo, uma UO não utilizada).
Além disso, ainda verificamos o AD e, além do PowerShell, usamos o ADtidy, uma ferramenta simples, mas muito eficiente ( link Nós executamos isso manualmente, mas temos um lembrete em nossa agenda compartilhada - para que essa tarefa seja executada regularmente (a cada quatro meses, tudo bem para nós)
Tags windows active-directory