j1m3e84
Goto Top

Domain Controller bereinigung

Hallo,

ich habe sowas noch nie gemacht und kenne auch keinen der erfahrung damit hat.

Bereinigt Ihr eure Domain Controller alle paar Monate/Jahre mal?

Also z.B. Registrierte PC´s/Server etc was sich mal an der Domäne angemeldet hat?
An unserem DC wurde in der hinsicht seit 2010 nichts gemacht. Es werden 100te PC leichen gelistet.
Auch DHCP (Adressleases) und DNS (Reverse Lookupzonen) sind total veraltete belegungen drinnen...

Die Mitarbeiter werden je nach Situation hinzugefügt/entsorgt... aber alles andere sammelt sich auf dauer an.

Mit folgendem Powershell script habe ich jetzt mal unsere Altgeräte ausgelesen, bei denen sich vor 1.1.2019 keiner mehr angemeldet hat:

$d = (Get-Date).addDays(-413)
Get-ADComputer -Property LastLogonDate -Filter {lastLogonDate -lt $d} |
select DNSHostName, LastLogonDate >> C:\altgeraete.csv

Was könnte man noch bereinigen?
Gibt es dafür automatismen oder eine gute Software?
Hat damit jemand Erfahrung?
Macht Ihr sowas regelmäßig?

Viele Grüße und danke für euer interesse!

Content-ID: 548697

Url: https://administrator.de/contentid/548697

Ausgedruckt am: 21.11.2024 um 21:11 Uhr

142583
142583 18.02.2020 um 10:49:37 Uhr
Goto Top
Ich pflege das DNS regelmäßig.
NordicMike
NordicMike 18.02.2020 um 10:54:29 Uhr
Goto Top
Den WSUS kannst Du noch bereinigen, da sieht man auch, wann sich die Geräte zuletzt gemeldet haben.
erikro
erikro 18.02.2020 um 10:59:45 Uhr
Goto Top
Moin,

Zitat von @j1m3e84:
Bereinigt Ihr eure Domain Controller alle paar Monate/Jahre mal?

Nein, das wird im laufenden Betrieb ständig gepflegt.

An unserem DC wurde in der hinsicht seit 2010 nichts gemacht. Es werden 100te PC leichen gelistet.

Das ist schlecht.

Auch DHCP (Adressleases) und DNS (Reverse Lookupzonen) sind total veraltete belegungen drinnen...

Das ist noch schlechter.

Mit folgendem Powershell script habe ich jetzt mal unsere Altgeräte ausgelesen, bei denen sich vor 1.1.2019 keiner mehr angemeldet hat:

$d = (Get-Date).addDays(-413)
Get-ADComputer -Property LastLogonDate -Filter {lastLogonDate -lt $d} |
select DNSHostName, LastLogonDate >> C:\altgeraete.csv

Pipe das auf remove-computer und gut ist. face-wink

Was könnte man noch bereinigen?

Wenn da seit 2010 nichts dran gemacht wurde, dann sollte man mal alle GPOs durchgucken. Dann würde ich mal schauen, ob die Struktur der OUs noch sinnvoll ist.

Gibt es dafür automatismen oder eine gute Software?

Die Powershell.

Hat damit jemand Erfahrung?

Ja, leider. Ich hatte das mal bei einem Kunden. Da ist neu machen meist schneller als aufräumen.

Macht Ihr sowas regelmäßig?

Jeden Tag. Solche Zustände können bei uns nicht vorkommen. PCs, die ausgemustert werden, werden sofort aus dem AD gelöscht. User, die aufhören, werden sofort deaktiviert und in eine entsprechende OU verschoben. Alle anderen Änderungen werden sorgfältig dokumentiert. Dann läuft sowas auch rund. face-wink

Wie groß ist die Domain denn (Anzahl User und Computer)?

Liebe Grüße

Erik
j1m3e84
j1m3e84 18.02.2020 um 11:11:53 Uhr
Goto Top
ca 110 Mitarbeiter durch Duale Studenten und Praktikanten schwankt es stark...

Mit den Mitarbeitern verfahren wir auch so wie Ihr mit Deaktivieren und Verschieben in andere OU.
Das Problem mit den PC´s das habe ich jetzt erst ins Rollen gebracht und werde mich darum jetzt kümmern.

Gibt es irgendwas zu beachten bei dem Thema?
Habe jetzt schonmal einen Test gemacht indem ich einen alten PC in die Domäne habe und Ihn dann entfernt habe,
anschließend habe ich geschaut was an diesem Gerät dann passiert und wie es sich verhält wenn man ihn iweder in die Domäne holt.
Aber das hat alles Problemlos funktioniert.

Die User Accounts sind da ja nicht betroffen, wenn ein Gerät entfernt wird...
clSchak
clSchak 18.02.2020 um 11:33:37 Uhr
Goto Top
Hi

für das AD lassen wir monatlich Scripte laufen die alle Accounts (Computer wie Benutzer) deaktiviert und in eine OU verschiebt die >180T keine Anmeldung am AD durchgeführt haben. Computeraccounts werden gelöscht und Benutzeraccount werden "gecleart" so das nur noch die absolut notwendigsten Daten vorhanden sind, wenn es sich um Serviceaccounts handelt, diese werden gelöscht.

DNS ist ein wenig mehr Handarbeit, automatisches löschen von alten Einträgen kann auch selbst gesetzte Einträge unter Umständen löschen und würde so zu weiteren Problemen führen.

DHCP ist bei uns nicht so viel Aufwand, da wir nahezu gar nicht mit Reservierungen arbeiten, dafür hat jedes IP Segment wo DHCP aktiv ist einen festen Bereich wo dedizierte IP Adresse gesetzt werden können.

Gruß
@clSchak
erikro
erikro 18.02.2020 um 11:34:14 Uhr
Goto Top
Moin,

Zitat von @j1m3e84:
ca 110 Mitarbeiter durch Duale Studenten und Praktikanten schwankt es stark...

Da sollte man wirklich im Tagesgeschäft darauf achten, dass alles aktuell ist. Sonst hat man irgendwann Chaos.

Gibt es irgendwas zu beachten bei dem Thema?

Eigentlich ist das Entfernen von Computern unkritisch. Wenn Du einen erwischst, der doch noch aktiv ist, dann wird der halt wieder in die Domain aufgenommen und gut ist. Es kommt sogar ab und an mal vor, dass man das machen muss, wenn der Computer warum auch immer seine Verbindung zur Domain verliert.

Die User Accounts sind da ja nicht betroffen, wenn ein Gerät entfernt wird...

Nein. Die sind vollkommen unabhängig von den Rechnern. Das einzige, was passieren kann, ist, dass der User sich nur an einem Gerät anmelden darf und er das nach dem Löschen logischweise nicht mehr kann. Aber auch das ist kein wirkliches Problem. Dann muss man halt dem User ein anderes Gerät zuweisen.

Liebe Grüße

Erik