Computerkonto löschen

[humpi 11]

Hallo Gemeinde,

 

macht es einen Unterschied, ob ich ein Computerkonto aus dem AD lösche oder den Computer aus der Domäne nehme?

[grizzly999 11]

Ja, das eine mal ist das Konto om AD noch da, im anderen Fall nicht.

 

Sorry, kannst du uns den Hintergrund der Frage erläutern?

 

grizzly999

[humpi 11]

@grizzly999

 

Wieso ist es einmal noch da?

Es gibt ein paar Leichen im AD. Die Computerkonten habe ich per Hand rausgelöscht. Weg waren sie.

Wird der Computer ordnungsgemäß aus der Domäne entfernt, ist er auch weg.

Oder?

[Daim 12]

Servus,

 

Es gibt ein paar Leichen im AD. Die Computerkonten habe ich per Hand rausgelöscht. Weg waren sie.

 

das brauchst Du nicht zwingend händisch zu machen.

 

Du kannst das Attribut LastLogonTimeStamp nutzen. Dazu muss sich

die Domäne in dem Domänenfunktionsmodus "Windows Server 2003"

befinden. Das Verhalten von LastLogonTimeStamp kann im

Attribut msDS-LogonTimeSyncInterval gesteuert werden.

 

 

Du kannst z.B. dsquery nutzen (wobei dsquery ebenfalls LastLogonTimeStamp nutzt):

Wie finde ich inaktive Computerkonten? - faq-o-matic.net

 

Oder z.B.:

Wie bekomme ich heraus, wann ein User sich zuletzt ans AD angemeldet hat? - faq-o-matic.net

 

Entfernen kannst Du die Computerkonten, entweder mit diesem Skript:

How to detect and remove inactive machine accounts

 

Oder mit dem Tool OldCmp:

OldCmp

 

oder mit diesem Skript:

Move Old Computers

[Flatlander 10]

Ja, das eine mal ist das Konto om AD noch da, im anderen Fall nicht.

grizzly999

 

 

Wird das Konto nicht standartmäßig gelöscht wenn ich den Computer aus der Domäne nehme?

 

Wie ist das eigentlich wenn ich einen alten Rechner vom Netz nehme(nicht aus der Domäne) und nen neuen mit dem gleichen Namen dann in die Domäne aufnehme? Gibts da nicht Problem mit des SID? Wird bei uns so gemacht wenn Rechner ersetzt werden, mir sind da aber noch keine Probleme aufgefallen.

[humpi 11]

Hallo

@Daim

Danke für deine Hinweise. Ich habe eine W2K Domäne. Werde aber mal die Tools testen.

Dsquery habe ich alleine noch nicht zum download gefunden.

 

Mich hat einfach interessiert, wo die Unterschiede sind, zwischen ordnungsgemässer Entfernung eines Computerkontos aus der Domäne am Computer und der Entfernung über Löschen eines Computerkontos im AD.

[Daim 12]

OK, bei Windows 2000 kann man nicht das Attribut LastLogonTimestamp nutzen und auch nicht dsquery (das es nur unter 2003 gibt).

 

Schau Dir die Skripte sowie das Tool an.

[grizzly999 11]

Mich hat einfach interessiert, wo die Unterschiede sind, zwischen ordnungsgemässer Entfernung eines Computerkontos aus der Domäne am Computer und der Entfernung über Löschen eines Computerkontos im AD.

Beim ordnungsgemäßen Entfernen des Computers (DC ist für den Clients im Netz verfügbar) wird das Konto lediglich deaktivert. Wenn der Client den DCnicht erreicht oder keine Credentials von jemandem eingegeben werden, der das darf, bleibt das Konto aktiv im AD.

 

 

grizzly999

[humpi 11]

@grizzly999

Erst mal Danke für die Hinweise.

Also wird mit Austritt aus der Domäne (Systemeigenschaften >Netzwerkidentifikation >Eigenschaften) das Computerkonto nicht gelöscht, sondern nur deaktiviert.

Ist das "nur" deaktivieren ein Sicherheitsfeature?

Was passiert, wenn ich dann einen Computer mit dem gleichen Namen in die Domäne aufnehmen möchte?

Das heisst, beim direkten Löschen aus dem AD spare ich mir einen Schritt. Sonst scheint mir kein Unterschied zwischen den zwei Methoden zu bestehen. Oder habe ich da was übersehen?