In einem gr\u00f6\u00dferen Active Directory (AD) kommt es mit der Zeit vor, das es alte Computerkonten gibt, welche nicht mehr benutzt werden. Dies kommt zustande, wenn Server oder Clients abgebaut werden ohne das das dazugeh\u00f6rige Computerkonto gel\u00f6scht wird.<\/p>\n
Dies gilt auch, wenn ein Computer zwar aus der Dom\u00e4ne entfernt wird, das Computerkonto bleibt bestehen und mu\u00df noch gel\u00f6scht werden.<\/p>\n
Auch durch die heutigen virtualisierten Umgebungen, wo sehr schnell Rechner auf- und abgebaut werden k\u00f6nnen, entstehen immer mehr solcher Karteileichen.<\/p>\n
Windows liefert hier eigentlich alle Tools mit, um diese Karteileichen zu finden: dsquery<\/em> und PowerShell 3.0<\/em>!<\/p>\n Sobald ein Computer aus der Dom\u00e4ne entfernt wird, wird das Computerkonto disabled. Diese Computerkonten kann man recht einfach heraus finden:<\/p>\n dsquery computer -disabled<\/p><\/blockquote>\n In PowerShell 3.0 sieht es dann so aus:<\/p>\n Search-ADAccount -AccountDisabled -ComputersOnly<\/p><\/blockquote>\n Ist man sich dann sicher, das alle gesperrten Computerkonten gel\u00f6scht werden sollen, kann man dies so tun:<\/p>\n dsquery computer -disabled | dsrm<\/p><\/blockquote>\n Alternativ nat\u00fcrlich auch mit PowerShell 3.0:<\/p>\n Search-ADAccount -AccountDisabled -ComputersOnly | Remove-ADComputer<\/p><\/blockquote>\n <\/p>\n Etwas schwieriger gestaltet sich das Problem bei inaktiven Computern. Diese sind beispielsweise einfach abgebaut worden, ohne das einem AD-Admin bescheid gesagt wurde. Gr\u00fcnde hierf\u00fcr gibt es verschiedene.<\/p>\n Auch Au\u00dfendienstmitarbeiter sind hier zu finden, wenn diese sich l\u00e4nger mit ihrem Computer nicht im Firmennetz aufgehalten haben.<\/p>\n Hier einen entsprechenden Inaktivit\u00e4tszeitraum zu finden, sollte jeder selbst entscheiden und nach seiner Umgebung anpassen k\u00f6nnen.<\/p>\n Mit dsquery kann man diese Rechner recht schnell finden:<\/p>\n dsquery computer -inactive 6 -limit 0<\/p><\/blockquote>\n Der Parameter inactive<\/em> gibt hierbei die Anzahl der Wochen an, limit<\/em> die Anzahl der maximalen Eintr\u00e4ge (0=unendlich).<\/p>\n Mit PowerShell 3.0 ist dies nat\u00fcrlich auch m\u00f6glich:<\/p>\n Search-ADAccount -AccountInactive -ComputersOnly -TimeSpan 42.00:00:00<\/p><\/blockquote>\n Damit diese Computerkonten nicht sofort gel\u00f6scht werden, empfiehlt es sich, diese erstmal zu disablen:<\/p>\n dsquery computer -inactive 6 | dsmod computer -disabled yes<\/p><\/blockquote>\n Mit PowerShell 3.0 geht dies so:<\/p>\n Search-ADAccount -AccountInactive -ComputersOnly -TimeSpan 42.00:00:00 | Set-ADComputer -Enabled 0<\/p><\/blockquote>\n Wer mag, kann dies dann nat\u00fcrlich auch automatisieren.<\/p>\n <\/p>\n F\u00fcr die Mausschubser gibt es aber auch eine nette Freeware: AD Tidy<\/a><\/p>\n <\/p>\n","protected":false},"excerpt":{"rendered":" In einem gr\u00f6\u00dferen Active Directory (AD) kommt es mit der Zeit vor, das es alte Computerkonten gibt, welche nicht mehr benutzt werden. Dies kommt zustande, wenn Server oder Clients abgebaut werden ohne das das dazugeh\u00f6rige Computerkonto gel\u00f6scht wird. Dies gilt … Weiterlesen