Identifizieren Sie veraltete Active Directory-Computerkonten mit dsquery

Eine frustrierende Verwaltungsaufgabe für Active Directory besteht darin, sicherzustellen, dass alte Computerkonten (normalerweise Server, Desktop-PCs oder Laptops in Active Directory) entfernt werden. Ein kurzer Blick auf die Registerkarte "Objekt" eines Computerkontos zeigt an, wann die Aktualisierungssequenznummer (USN) aktualisiert wurde, jedoch nicht das letzte Mal, als sich der Computer bei der Domäne angemeldet hat. Einige mögliche Gründe, warum veraltete Computerkonten in Active Directory gelangen, sind, dass eine virtuelle Testmaschine entsorgt, ein alter Server ausgemustert oder ein Server aktualisiert und der alte für alle Fälle beibehalten wird.

Es gibt verschiedene Möglichkeiten, um festzustellen, ob ein Computerkonto in Active Directory veraltet ist. Der von mir empfohlene Ansatz besteht darin, eine Richtlinie für Ihre Active Directory-Domäne einzurichten, in der die Regeln erläutert werden. Grundsätzlich kann das Computerkonto entfernt werden, wenn sich ein Computerkonto eines beliebigen Typs für einen bestimmten Zeitraum nicht anmeldet.

Hierbei handelt es sich um Remote-Systeme, z. B. einen Laptop, auf dem der entsprechende Benutzer möglicherweise über eine Webanwendung alles tun kann, was er benötigt. Sie sollten darüber nachdenken, bevor Sie Großhandelskonten löschen. Darüber hinaus empfehle ich den folgenden abgestuften Ansatz, wenn viele Fragen zur Active Directory-Domäne vorliegen und eine grundlegende Verwaltung erforderlich ist:

  1. Legen Sie einen Zeitschwellenwert für das Entfernen veralteter Konten fest (z. B. zwei Monate).
  2. Verschieben Sie die möglicherweise veralteten Konten in eine neue Organisationseinheit (OU) und deaktivieren Sie sie.
  3. Führen Sie einen zusätzlichen Schwellenwert für veraltete Konten aus, die sich seit einem weiteren Monat in dieser Organisationseinheit befinden, und löschen Sie sie.
In meinem persönlichen Labor habe ich den Befehl dsquery ausgeführt, um festzustellen, wie viele Computerkonten zwei Monate lang inaktiv waren (in diesem Befehl als acht Wochen dargestellt, wie in Abbildung A dargestellt ). Abbildung A.

Klicken Sie auf das Bild, um es zu vergrößern.

Der Befehl dsquery computer -inactive 8 wird für die gesamte Domäne des betreffenden Computers ausgeführt. Zusätzliche Parameter, z. B. das Abfragen nur bestimmter Organisationseinheiten, können ausgeführt werden, um auf bestimmte Bereiche wie alte Serverkonten abzuzielen. Wenn einer der Computer im Ergebnis anschließend sein Computerkonto bei Active Directory protokolliert, gibt dsquery es bei der nächsten Iteration nicht zurück, wenn seine Aktivität jetzt innerhalb des Schwellenwerts liegt. Aus Sicherheitsgründen können Sie diesen Bericht vierteljährlich ausführen und die konsistent inaktiven Konten identifizieren, um ihn schrittweise zu bereinigen und das Verhalten Ihres Computerkontos weiter in den Griff zu bekommen.

Weitere Informationen zu dsquery finden Sie im TechRepublic-Artikel SolutionBase: Verwenden des Befehls Dsquery in Windows Server 2003.

Wie verwalten Sie veraltete Computerkonten in Active Directory? Lass es uns in der Diskussion wissen.

© Copyright 2020 | mobilegn.com