清理活动目录 AD域计算机无效帐户。企业环境中,AD 使用时间长了之后, 客户端肯定会有系统崩溃, 系统重装的事件; 此类事件多了之后, 我发现AD 中的computers下, 有很多无效的计算机帐户, 我自己重装做的PC , 我很清楚是哪些; 但其他人重装的, 我就不是很清楚了, 无法确定他们的PC 是否会重新接入内部AD 网络。
这样的情况, 给网络中心管理PC 带来了一定的麻烦。 如何清理这些无效计算机帐户? 如何预防这种情况发生?有无好的建议?
回答:根据我的经验,您可以使用一个叫oldcmp的工具,它能够根据你设置的条件过滤用户帐户或者计算机账户,然后你可以设置如何处置这些过期账户,是删除、移动、还是锁定。该工具的下载地址在
http://www.joeware.net/freetools/tools/oldcmp/index.htm
您需要在命令行环境下执行它,查询命令行的方式是 oldcmp /?
您可以参考下面的这篇文章,上面有详细的图文解说如何使用oldcmp清楚旧的计算机帐户:
下面我举一个例子来说明使用OldCmp来清除域中长时间不使用的计算机帐户。
将工具OldCmp.exe 复制 到C盘根目录,打开命令行窗口。接下来我要把AD中超过60天没有更新计算机账户密码的计算机账户挑选出来并禁用,等过一段时间,若没有用户报告出现问题,就可以统统从域中清除了。
注:默认情况下,计算机账户密码每30天自动更新一次。那也就是说我可以认为60天没更新的计算机已经是无效的了。该工具默认是90天,当然您可以根据需要自己设定。您看到的文章来自活动目录seo http://gnaw0725.blog.51cto.com/156601/d-1
在命令行窗口定位到C:\> 然后运行下面的命令:
oldcmp –age 60 –disable –unsafe –forreal
注释:
运行了命令后在工具所在的目录内会出现一份html报告,内容非常详尽。下面介绍一下参数含义
-age 60 :超过60天未更新计算机账户密码的的计算机账户
-disable :禁用计算机账户
-unsafe :比如你有100个符合条件的对象会被执行,但默认情况下只对前10个做了操作,加了这个参数后就是对所有符合条件的对象操作,这么做的目的只有一个,安全。该工具非常的棒,同样他也非常的危险。
-forreal :加了这个参数,所有的操作才真正的执行。默认情况下你的操作都只是出现一份报告,告诉你操作的结果,让你可以有个了解。该工具的使用是需要非常小心的,所以该工具作者认为有必要多一个参数来保护。您看到的文章来自活动目录seo http://gnaw0725.blog.51cto.com/156601/d-1
命令运行后,刷新一下OU,你就发现符合条件的计算机账户都被禁用了。过了一段时间一切都运作正常,那么我就来删除当初禁用的这些电脑。 只需要运行下面的命令:
oldcmp -onlydisabled -delete -unsafe -forreal
参数Onlydisabled就是仅仅对被禁用的计算机账户操作。
另外您还可以借助于脚本去查询并删除过期的计算机帐户。 下面是一个脚本的例子, 您可以到我们的MSDN 论坛咨询脚本相关的问题
http://www.rlmueller.net/MoveOldComputers.htm
Paolo 微软全球技术支持中心