CMS79 10 Geschrieben 26. Juni 2007 Melden Teilen Geschrieben 26. Juni 2007 Hallo ich suche nach einer Möglichkeit herauszufinden welche Computer Altlasten sind und aus dem AD entfernt werden können. Was für Möglichkeiten gibt es? Vielen Dank für eure Hilfe. Gruß CMS Zitieren Link zu diesem Kommentar
ollerBastard 10 Geschrieben 26. Juni 2007 Melden Teilen Geschrieben 26. Juni 2007 Falls DHCP-Reservierungen für alle Rechner geschalten sind einfach alle anmachen, in die AD gehen, schauen welche Reservierungen aktiv bzw. inaktiv sind und die inaktiven dann einfach löschen bzw. die jeweiligen PC´s (steht in der Beschreibung). -Bin mir damit zwar nicht ganz sicher aber so könnte es funktionieren. Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 26. Juni 2007 Melden Teilen Geschrieben 26. Juni 2007 Servus, das kannst Du unter Windows Server 2003 z.B. mit dsquery herausfinden (gepipet mit DSRM kannst du es dann gleich löschen): Wie finde ich inaktive Computerkonten? - faq-o-matic.net Oder folgendermaßen: Wie bekomme ich heraus, wann ein User sich zuletzt ans AD angemeldet hat? - faq-o-matic.net Entfernen kannst Du die Computerkonten, entweder mit diesem Skript: How to detect and remove inactive machine accounts Oder mit dem Tool OldCmp: Free Tools oder mit diesem Skript: Move Old Computers Zitieren Link zu diesem Kommentar
CMS79 10 Geschrieben 26. Juni 2007 Autor Melden Teilen Geschrieben 26. Juni 2007 Vielen Dank! Ich werde mal sehen was davon funktioniert. Mein Problem ist das ich nicht nach Passwort Alter gehen kann. Gruß CMS Zitieren Link zu diesem Kommentar
satan 10 Geschrieben 26. Juni 2007 Melden Teilen Geschrieben 26. Juni 2007 Servus, das kannst Du unter Windows Server 2003 z.B. mit dsquery herausfinden (gepipet mit DSRM kannst du es dann gleich löschen): Wie finde ich inaktive Computerkonten? - faq-o-matic.net Oder folgendermaßen: Wie bekomme ich heraus, wann ein User sich zuletzt ans AD angemeldet hat? - faq-o-matic.net Entfernen kannst Du die Computerkonten, entweder mit diesem Skript: How to detect and remove inactive machine accounts Oder mit dem Tool OldCmp: Free Tools oder mit diesem Skript: Move Old Computers Das AD reinigt sich selber über den garbage collector mann solte lieber warten, und Tools zum bearbeiten von AD nur im äussersten Notfall einsetzen! Denn diese setzen einiges an wissen voraus. Zitieren Link zu diesem Kommentar
amichel 10 Geschrieben 26. Juni 2007 Melden Teilen Geschrieben 26. Juni 2007 Das AD reinigt sich selber über den garbage collector mann solte lieber warten, und Tools zum bearbeiten von AD nur im äussersten Notfall einsetzen! Denn diese setzen einiges an wissen voraus. Naja so ist das nicht, das selbstreinigen betrifft nur getombstonte Objekte, also diejenigen objekte die zwar noch in der Datenbank sind, aber als gelöscht markiert sind. Siehe dazu: The Active Directory database garbage collection process Wenn Du aber nichts löscht, dann wird auch nihcts vom Garbage collecting erfaßt. Zitieren Link zu diesem Kommentar
satan 10 Geschrieben 26. Juni 2007 Melden Teilen Geschrieben 26. Juni 2007 Naja so ist das nicht, das selbstreinigen betrifft nur getombstonte Objekte, also diejenigen objekte die zwar noch in der Datenbank sind, aber als gelöscht markiert sind.Siehe dazu: The Active Directory database garbage collection process Wenn Du aber nichts löscht, dann wird auch nihcts vom Garbage collecting erfaßt. Aber werden die Computer nicht nach einer bestimmten Zeit automatisch gelöscht oder aktuallisiert? Zitieren Link zu diesem Kommentar
amichel 10 Geschrieben 26. Juni 2007 Melden Teilen Geschrieben 26. Juni 2007 nein, ein Computer erneuert alle 30 Tage sein Paßwort wobei es mit pasword history auch bis zu 60 Tage sein können. was Du eventuell machen kannst ist, mittels einer ldap abfrage oder mit dsquery alle computer abfragen und diejenigen die im attribut password last set einen wert von sagen wir 68 tagen haben herausfiltern. Die kannst du dann ruhig löschen,d a sie sich gegen die domain nicht mehr authentifizieren können. Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 26. Juni 2007 Melden Teilen Geschrieben 26. Juni 2007 Das AD reinigt sich selber über den garbage collector Der Garbage Collector Prozess defragmentiert z.B. die AD-DB (NTDS.DIT) online oder löscht endgültig die gelöschten Objekt, bei denen die Tombstone Lifetime abgelaufen ist. Der Prozess löscht aber keine Computerobjekte! mann solte lieber warten, und Tools zum bearbeiten von AD nur im äussersten Notfall einsetzen! Prinzipiell sollte man immer vorsichtig sein und es vorher in einer Testumgebung es testen. Aber hast du dir die Artikel bzw. Tools mal angeschaut? Nein, dann bitte nachholen. Denn diese setzen einiges an wissen voraus. JEDE Tätigkeit setzt ein wissen voraus. Sogar wenn man auf das WC muss. SCNR! Zitieren Link zu diesem Kommentar
Gadget 37 Geschrieben 27. Juni 2007 Melden Teilen Geschrieben 27. Juni 2007 Hallo, Meine bevorzugte Lösung = Oldcmp: http://www.mcseboard.de/tipps-links-5/oldcmp-reporting-deaktivierung-loeschung-veralteter-computerkonten-u-benutzer-90516.html LG Gadget Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 27. Juni 2007 Melden Teilen Geschrieben 27. Juni 2007 Huhuu Kohn, ja, die Tools vom AD-Meister "Joe Richards" sind legendär. Der OP schrieb jedoch, Zitat: Mein Problem ist das ich nicht nach Passwort Alter gehen kann. Das trifft z.B. bei Aussendienstlern die selten im Netz sind zu. Bei denen würden dann die Computerkonten ebenfalls entfernt werden, wenn man nach dem Kriterium des Computerkennworts gehen würde. Das wäre natürlich nicht schön bzw. garnicht wünschenswert. Zitieren Link zu diesem Kommentar
Gadget 37 Geschrieben 28. Juni 2007 Melden Teilen Geschrieben 28. Juni 2007 Wenn man ne richtige Naming-Policy hat seh ich da, das Problem nicht. Außendienstler: Mobile-01 Mobile-02 Innendienstler: PC-01 PC-02 Außendienstler unterschreibt für sein Gerät bei Austritt aus der Organisation muss von der Personal-Abteilung nachricht an IT kommen. Computer-Acc, Benutzer-Acc etc... sperren bzw. löschen...wie auch immer. Wenn es eine solche Naming-Policy nicht gibt, sitzt das Problem tiefer. LG Gadget Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 28. Juni 2007 Melden Teilen Geschrieben 28. Juni 2007 Das mit den Aussendienstlern war von mir auch ein "leichtes" Beispiel. Die Anforderugn des OPs kann ja ganz anders aussehen. Das Abteilungen für X-Monate auf Projekt sind und nicht mit der Domäne verbunden sind usw. Da gibt es sicherlich noch andere Gründe, wo eben das löschen der Computerkonten, sich nicht so einfach durchführen lässt. Zitieren Link zu diesem Kommentar
Zearom 10 Geschrieben 28. Juni 2007 Melden Teilen Geschrieben 28. Juni 2007 Wenn man ne richtige Naming-Policy hat seh ich da, das Problem nicht. Außendienstler: Mobile-01 Mobile-02 Innendienstler: PC-01 PC-02 Außendienstler unterschreibt für sein Gerät bei Austritt aus der Organisation muss von der Personal-Abteilung nachricht an IT kommen. Computer-Acc, Benutzer-Acc etc... sperren bzw. löschen...wie auch immer. Wenn es eine solche Naming-Policy nicht gibt, sitzt das Problem tiefer. LG Gadget mutterschaft, stillgelegtes arbeitsverhältnis, verliehener mitarbeiter... glaub mir das lässt sich nicht über ne namenskonvention abbilden. Entweder man hat da saubere Stammdaten oder man hat keine, und dann gibts nette Probleme... so wie das hier ;) mmh gabs da nicht n feld mit LastLogin oder so? Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.