如何查找并刪除域中多余的計(jì)算機(jī)帳號(hào)
來源:中國(guó)政府采購(gòu)招標(biāo)網(wǎng) 時(shí)間:2008/9/22
對(duì)我們廣大網(wǎng)絡(luò)管理員來說��,用戶帳號(hào)和計(jì)算機(jī)帳號(hào)的管理是我們最長(zhǎng)見也是最難管理一項(xiàng)工作�。我們知道頻繁的系統(tǒng)重裝和加入域的過程會(huì)導(dǎo)致產(chǎn)生大量無效計(jì)算機(jī)帳號(hào),如何清理這些無效計(jì)算機(jī)帳號(hào)就成為了一個(gè)難題……
對(duì)我們廣大網(wǎng)絡(luò)管理員來說���,用戶帳號(hào)和計(jì)算機(jī)帳號(hào)的管理是我們最長(zhǎng)見也是最難管理一項(xiàng)工作��。我們知道頻繁的系統(tǒng)重裝和加入域的過程會(huì)導(dǎo)致產(chǎn)生大量無效計(jì)算機(jī)帳號(hào)���,如何清理這些無效計(jì)算機(jī)帳號(hào)就成為了一個(gè)難題。
Q:
如何查找并刪除域中多余的計(jì)算機(jī)帳號(hào)?
A:
如果我們的域是Windows 2003域��,我們可以通過dsquery命令的inactive參數(shù)排查出一段時(shí)間沒有活動(dòng)的計(jì)算機(jī)����。
附件中包含兩個(gè)cmd的文件,內(nèi)容分別如下:
DisableComputer.CMD
dsquery computer -inactive 10 -stalepwd 70 |dsmod computer -disabled yes
查處10周未登陸的機(jī)器以及70天未能更改域計(jì)算機(jī)密碼的機(jī)器(數(shù)值可自行指定)���,然后把它們?cè)O(shè)成disabled���。
備注:-inactive指得是機(jī)器未logon的時(shí)間�,-stalepwd是機(jī)器密碼未改的時(shí)間�����,windows 2000以上的機(jī)器默認(rèn)為30天�,我們可以兩者結(jié)合來看看哪些是非active的機(jī)器。如果要用-inactive參數(shù)����,需要2003純模式。如果單單使用-stalepwd��,可以在混合模式下運(yùn)行�。
dsquery對(duì)于不活動(dòng)時(shí)間越長(zhǎng)的計(jì)算機(jī)越正確。造成這一現(xiàn)象的原因是Active Directory是根據(jù)計(jì)算機(jī)是否驗(yàn)證身份來判斷其是否活動(dòng)的�。一臺(tái)1個(gè)月沒有開機(jī)的計(jì)算機(jī)當(dāng)然是不活動(dòng)的,但是一臺(tái)開機(jī)但是一個(gè)月無人操作的計(jì)算機(jī)也會(huì)被判斷為不活動(dòng)的����,而第二種情況在服務(wù)器上是比較常見的(比如文件共享服務(wù)器)。所以我們不能根據(jù)dsquery結(jié)果立刻刪除計(jì)算機(jī)帳號(hào)��,還需要做一些驗(yàn)證工作(比如查詢這一計(jì)算機(jī)名的IP)�。
DeleteComputer.CMD
dsquery computer -disabled | dsrm –noprompt
查出禁用機(jī)器然后刪掉。
備注:建議在使用DisableComputer.CMD兩周之后,沒有用戶報(bào)錯(cuò)的情況下再使用DeleteComputer.CMD來刪除域中多余的計(jì)算機(jī)帳號(hào)����。