6
Domain Controller bereinigung
Hallo,
ich habe sowas noch nie gemacht und kenne auch keinen der erfahrung damit hat.
Bereinigt Ihr eure Domain Controller alle paar Monate/Jahre mal?
Also z.B. Registrierte PC´s/Server etc was sich mal an der Domäne angemeldet hat?
An unserem DC wurde in der hinsicht seit 2010 nichts gemacht. Es werden 100te PC leichen gelistet.
Auch DHCP (Adressleases) und DNS (Reverse Lookupzonen) sind total veraltete belegungen drinnen...
Die Mitarbeiter werden je nach Situation hinzugefügt/entsorgt... aber alles andere sammelt sich auf dauer an.
Mit folgendem Powershell script habe ich jetzt mal unsere Altgeräte ausgelesen, bei denen sich vor 1.1.2019 keiner mehr angemeldet hat:
$d = (Get-Date).addDays(-413)
Get-ADComputer -Property LastLogonDate -Filter {lastLogonDate -lt $d} |
select DNSHostName, LastLogonDate >> C:\altgeraete.csv
Was könnte man noch bereinigen?
Gibt es dafür automatismen oder eine gute Software?
Hat damit jemand Erfahrung?
Macht Ihr sowas regelmäßig?
Viele Grüße und danke für euer interesse!
ich habe sowas noch nie gemacht und kenne auch keinen der erfahrung damit hat.
Bereinigt Ihr eure Domain Controller alle paar Monate/Jahre mal?
Also z.B. Registrierte PC´s/Server etc was sich mal an der Domäne angemeldet hat?
An unserem DC wurde in der hinsicht seit 2010 nichts gemacht. Es werden 100te PC leichen gelistet.
Auch DHCP (Adressleases) und DNS (Reverse Lookupzonen) sind total veraltete belegungen drinnen...
Die Mitarbeiter werden je nach Situation hinzugefügt/entsorgt... aber alles andere sammelt sich auf dauer an.
Mit folgendem Powershell script habe ich jetzt mal unsere Altgeräte ausgelesen, bei denen sich vor 1.1.2019 keiner mehr angemeldet hat:
$d = (Get-Date).addDays(-413)
Get-ADComputer -Property LastLogonDate -Filter {lastLogonDate -lt $d} |
select DNSHostName, LastLogonDate >> C:\altgeraete.csv
Was könnte man noch bereinigen?
Gibt es dafür automatismen oder eine gute Software?
Hat damit jemand Erfahrung?
Macht Ihr sowas regelmäßig?
Viele Grüße und danke für euer interesse!
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 548697
Url: https://administrator.de/contentid/548697
Ausgedruckt am: 21.11.2024 um 21:11 Uhr
6 Kommentare
Neuester Kommentar
Ich pflege das DNS regelmäßig.
Den WSUS kannst Du noch bereinigen, da sieht man auch, wann sich die Geräte zuletzt gemeldet haben.
Moin,
Nein, das wird im laufenden Betrieb ständig gepflegt.
Das ist schlecht.
Das ist noch schlechter.
Pipe das auf remove-computer und gut ist.
Wenn da seit 2010 nichts dran gemacht wurde, dann sollte man mal alle GPOs durchgucken. Dann würde ich mal schauen, ob die Struktur der OUs noch sinnvoll ist.
Die Powershell.
Ja, leider. Ich hatte das mal bei einem Kunden. Da ist neu machen meist schneller als aufräumen.
Jeden Tag. Solche Zustände können bei uns nicht vorkommen. PCs, die ausgemustert werden, werden sofort aus dem AD gelöscht. User, die aufhören, werden sofort deaktiviert und in eine entsprechende OU verschoben. Alle anderen Änderungen werden sorgfältig dokumentiert. Dann läuft sowas auch rund.
Wie groß ist die Domain denn (Anzahl User und Computer)?
Liebe Grüße
Erik
Nein, das wird im laufenden Betrieb ständig gepflegt.
An unserem DC wurde in der hinsicht seit 2010 nichts gemacht. Es werden 100te PC leichen gelistet.
Das ist schlecht.
Auch DHCP (Adressleases) und DNS (Reverse Lookupzonen) sind total veraltete belegungen drinnen...
Das ist noch schlechter.
Mit folgendem Powershell script habe ich jetzt mal unsere Altgeräte ausgelesen, bei denen sich vor 1.1.2019 keiner mehr angemeldet hat:
$d = (Get-Date).addDays(-413)
Get-ADComputer -Property LastLogonDate -Filter {lastLogonDate -lt $d} |
select DNSHostName, LastLogonDate >> C:\altgeraete.csv
$d = (Get-Date).addDays(-413)
Get-ADComputer -Property LastLogonDate -Filter {lastLogonDate -lt $d} |
select DNSHostName, LastLogonDate >> C:\altgeraete.csv
Pipe das auf remove-computer und gut ist.
Was könnte man noch bereinigen?
Wenn da seit 2010 nichts dran gemacht wurde, dann sollte man mal alle GPOs durchgucken. Dann würde ich mal schauen, ob die Struktur der OUs noch sinnvoll ist.
Gibt es dafür automatismen oder eine gute Software?
Die Powershell.
Hat damit jemand Erfahrung?
Ja, leider. Ich hatte das mal bei einem Kunden. Da ist neu machen meist schneller als aufräumen.
Macht Ihr sowas regelmäßig?
Jeden Tag. Solche Zustände können bei uns nicht vorkommen. PCs, die ausgemustert werden, werden sofort aus dem AD gelöscht. User, die aufhören, werden sofort deaktiviert und in eine entsprechende OU verschoben. Alle anderen Änderungen werden sorgfältig dokumentiert. Dann läuft sowas auch rund.
Wie groß ist die Domain denn (Anzahl User und Computer)?
Liebe Grüße
Erik
ca 110 Mitarbeiter durch Duale Studenten und Praktikanten schwankt es stark...
Mit den Mitarbeitern verfahren wir auch so wie Ihr mit Deaktivieren und Verschieben in andere OU.
Das Problem mit den PC´s das habe ich jetzt erst ins Rollen gebracht und werde mich darum jetzt kümmern.
Gibt es irgendwas zu beachten bei dem Thema?
Habe jetzt schonmal einen Test gemacht indem ich einen alten PC in die Domäne habe und Ihn dann entfernt habe,
anschließend habe ich geschaut was an diesem Gerät dann passiert und wie es sich verhält wenn man ihn iweder in die Domäne holt.
Aber das hat alles Problemlos funktioniert.
Die User Accounts sind da ja nicht betroffen, wenn ein Gerät entfernt wird...
Mit den Mitarbeitern verfahren wir auch so wie Ihr mit Deaktivieren und Verschieben in andere OU.
Das Problem mit den PC´s das habe ich jetzt erst ins Rollen gebracht und werde mich darum jetzt kümmern.
Gibt es irgendwas zu beachten bei dem Thema?
Habe jetzt schonmal einen Test gemacht indem ich einen alten PC in die Domäne habe und Ihn dann entfernt habe,
anschließend habe ich geschaut was an diesem Gerät dann passiert und wie es sich verhält wenn man ihn iweder in die Domäne holt.
Aber das hat alles Problemlos funktioniert.
Die User Accounts sind da ja nicht betroffen, wenn ein Gerät entfernt wird...
Hi
für das AD lassen wir monatlich Scripte laufen die alle Accounts (Computer wie Benutzer) deaktiviert und in eine OU verschiebt die >180T keine Anmeldung am AD durchgeführt haben. Computeraccounts werden gelöscht und Benutzeraccount werden "gecleart" so das nur noch die absolut notwendigsten Daten vorhanden sind, wenn es sich um Serviceaccounts handelt, diese werden gelöscht.
DNS ist ein wenig mehr Handarbeit, automatisches löschen von alten Einträgen kann auch selbst gesetzte Einträge unter Umständen löschen und würde so zu weiteren Problemen führen.
DHCP ist bei uns nicht so viel Aufwand, da wir nahezu gar nicht mit Reservierungen arbeiten, dafür hat jedes IP Segment wo DHCP aktiv ist einen festen Bereich wo dedizierte IP Adresse gesetzt werden können.
Gruß
@clSchak
für das AD lassen wir monatlich Scripte laufen die alle Accounts (Computer wie Benutzer) deaktiviert und in eine OU verschiebt die >180T keine Anmeldung am AD durchgeführt haben. Computeraccounts werden gelöscht und Benutzeraccount werden "gecleart" so das nur noch die absolut notwendigsten Daten vorhanden sind, wenn es sich um Serviceaccounts handelt, diese werden gelöscht.
DNS ist ein wenig mehr Handarbeit, automatisches löschen von alten Einträgen kann auch selbst gesetzte Einträge unter Umständen löschen und würde so zu weiteren Problemen führen.
DHCP ist bei uns nicht so viel Aufwand, da wir nahezu gar nicht mit Reservierungen arbeiten, dafür hat jedes IP Segment wo DHCP aktiv ist einen festen Bereich wo dedizierte IP Adresse gesetzt werden können.
Gruß
@clSchak
Moin,
Da sollte man wirklich im Tagesgeschäft darauf achten, dass alles aktuell ist. Sonst hat man irgendwann Chaos.
Eigentlich ist das Entfernen von Computern unkritisch. Wenn Du einen erwischst, der doch noch aktiv ist, dann wird der halt wieder in die Domain aufgenommen und gut ist. Es kommt sogar ab und an mal vor, dass man das machen muss, wenn der Computer warum auch immer seine Verbindung zur Domain verliert.
Nein. Die sind vollkommen unabhängig von den Rechnern. Das einzige, was passieren kann, ist, dass der User sich nur an einem Gerät anmelden darf und er das nach dem Löschen logischweise nicht mehr kann. Aber auch das ist kein wirkliches Problem. Dann muss man halt dem User ein anderes Gerät zuweisen.
Liebe Grüße
Erik
Da sollte man wirklich im Tagesgeschäft darauf achten, dass alles aktuell ist. Sonst hat man irgendwann Chaos.
Gibt es irgendwas zu beachten bei dem Thema?
Eigentlich ist das Entfernen von Computern unkritisch. Wenn Du einen erwischst, der doch noch aktiv ist, dann wird der halt wieder in die Domain aufgenommen und gut ist. Es kommt sogar ab und an mal vor, dass man das machen muss, wenn der Computer warum auch immer seine Verbindung zur Domain verliert.
Die User Accounts sind da ja nicht betroffen, wenn ein Gerät entfernt wird...
Nein. Die sind vollkommen unabhängig von den Rechnern. Das einzige, was passieren kann, ist, dass der User sich nur an einem Gerät anmelden darf und er das nach dem Löschen logischweise nicht mehr kann. Aber auch das ist kein wirkliches Problem. Dann muss man halt dem User ein anderes Gerät zuweisen.
Liebe Grüße
Erik
