如何查找并刪除域中多余的計算機帳號
來源:中國政府采購招標(biāo)網(wǎng) 時間:2008/9/22
對我們廣大網(wǎng)絡(luò)管理員來說���,用戶帳號和計算機帳號的管理是我們最長見也是最難管理一項工作。我們知道頻繁的系統(tǒng)重裝和加入域的過程會導(dǎo)致產(chǎn)生大量無效計算機帳號�����,如何清理這些無效計算機帳號就成為了一個難題……
對我們廣大網(wǎng)絡(luò)管理員來說,用戶帳號和計算機帳號的管理是我們最長見也是最難管理一項工作�����。我們知道頻繁的系統(tǒng)重裝和加入域的過程會導(dǎo)致產(chǎn)生大量無效計算機帳號�����,如何清理這些無效計算機帳號就成為了一個難題����。
Q:
如何查找并刪除域中多余的計算機帳號?
A:
如果我們的域是Windows 2003域,我們可以通過dsquery命令的inactive參數(shù)排查出一段時間沒有活動的計算機�。
附件中包含兩個cmd的文件,內(nèi)容分別如下:
DisableComputer.CMD
dsquery computer -inactive 10 -stalepwd 70 |dsmod computer -disabled yes
查處10周未登陸的機器以及70天未能更改域計算機密碼的機器(數(shù)值可自行指定)�,然后把它們設(shè)成disabled。
備注:-inactive指得是機器未logon的時間��,-stalepwd是機器密碼未改的時間���,windows 2000以上的機器默認(rèn)為30天,我們可以兩者結(jié)合來看看哪些是非active的機器����。如果要用-inactive參數(shù)��,需要2003純模式���。如果單單使用-stalepwd,可以在混合模式下運行��。
dsquery對于不活動時間越長的計算機越正確���。造成這一現(xiàn)象的原因是Active Directory是根據(jù)計算機是否驗證身份來判斷其是否活動的�����。一臺1個月沒有開機的計算機當(dāng)然是不活動的�����,但是一臺開機但是一個月無人操作的計算機也會被判斷為不活動的��,而第二種情況在服務(wù)器上是比較常見的(比如文件共享服務(wù)器)���。所以我們不能根據(jù)dsquery結(jié)果立刻刪除計算機帳號,還需要做一些驗證工作(比如查詢這一計算機名的IP)�。
DeleteComputer.CMD
dsquery computer -disabled | dsrm –noprompt
查出禁用機器然后刪掉�����。
備注:建議在使用DisableComputer.CMD兩周之后����,沒有用戶報錯的情況下再使用DeleteComputer.CMD來刪除域中多余的計算機帳號���。