10
nicht aktive Computer im AD entfernen
Hallo zusammen,
ich habe mal eine Frage..
Wir haben einen WIN 2003 Server und AD im einsatz. Im laufe der Zeit wurde Rechner aussortiert und aus dem Netz genommen. Nun sind diese Rechner allerding immer noch im Active Directory Baum.
Gibt es eine Möglichkeit die alten Clients mit Hilfe eines Tools zu entfernen??
Danke für Eure Hilfe vorab.
ich habe mal eine Frage..
Wir haben einen WIN 2003 Server und AD im einsatz. Im laufe der Zeit wurde Rechner aussortiert und aus dem Netz genommen. Nun sind diese Rechner allerding immer noch im Active Directory Baum.
Gibt es eine Möglichkeit die alten Clients mit Hilfe eines Tools zu entfernen??
Danke für Eure Hilfe vorab.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 74892
Url: https://administrator.de/contentid/74892
Ausgedruckt am: 22.11.2024 um 13:11 Uhr
10 Kommentare
Neuester Kommentar
Wenn man absolut sicher das, das die noch aktiven Computerkonten innerhalb einer Zeitspanne verwendet wurden, die Aussortierten aber nicht (zb. die letzten 30 Tage) kannst man mit
die inaktiven Computerkonten zur durchsicht in die OU DELETE verschieben. Wenn diese wirklich gelöscht werden können, kann das dort immernoch erfolgen. HINWEIS: Einen dsquery mit angefügtem dsrm (was ja theoretisch auch möglich ist) sollte IMMER vermieden werden. Ein Tippfehler und 300 Computer müssen neu angelegt werden (es sei denn, man weiß wie man authorative Wiederherstellungen im AD ausführt). Die Konten können erstmal deaktiviert und nach weiteren 30 Tagen vom Admin gelöscht werden.
PS: Die OU DELETE muss vorher noch angelegt werden.
dsquery computer -inactive 30 | dsmove -newparent ou=DELETE,dc=DOMÄNE,dc=TLDdie inaktiven Computerkonten zur durchsicht in die OU DELETE verschieben. Wenn diese wirklich gelöscht werden können, kann das dort immernoch erfolgen. HINWEIS: Einen dsquery mit angefügtem dsrm (was ja theoretisch auch möglich ist) sollte IMMER vermieden werden. Ein Tippfehler und 300 Computer müssen neu angelegt werden (es sei denn, man weiß wie man authorative Wiederherstellungen im AD ausführt). Die Konten können erstmal deaktiviert und nach weiteren 30 Tagen vom Admin gelöscht werden.
PS: Die OU DELETE muss vorher noch angelegt werden.
HI datasearch..
danke für deine Mühe
So viele Infos auf einmal.. wow
Jetzt muss ich ganz blöd fragen, wo ich den so eine Befehlszeile ausführen kann?? Ich muss dazu sagen, das ich noch nicht so lange mit der 2003 AD Struktur arbeite
so wie ich Dich verstanden habe,
- wird von mir ein OU "Delete" erstellt,
- der von Dir erstellte Befehl ausgeführt
- anschliessend werden alle Clients im AD die älter als 30 Tage sind in diese OU verschoben
Vielen dank schon mal vor ab..
danke für deine Mühe
So viele Infos auf einmal.. wow
Jetzt muss ich ganz blöd fragen, wo ich den so eine Befehlszeile ausführen kann?? Ich muss dazu sagen, das ich noch nicht so lange mit der 2003 AD Struktur arbeite
dsquery computer -inactive 30 | dsmove-newparent ou=DELETE,dc=DOMÄNE,dc=TLDso wie ich Dich verstanden habe,
- wird von mir ein OU "Delete" erstellt,
- der von Dir erstellte Befehl ausgeführt
- anschliessend werden alle Clients im AD die älter als 30 Tage sind in diese OU verschoben
Einen dsquery mit angefügtem dsrm (was
ja theoretisch auch möglich ist) ....
Eine Frage: was ist ein "dsrm"??ja theoretisch auch möglich ist) ....
Vielen dank schon mal vor ab..
Jetzt muss ich ganz blöd fragen, wo ich den so eine Befehlszeile ausführen kann??
Ganz normal in der cmd (Start -> Ausführen -> cmd)Ich muss dazu sagen, das ich noch nicht so lange mit der 2003 AD Struktur arbeite
Kein Problem. Du machst folgendes:- Erstelle in der Konsole "Active Directory Benutzer und Computer" eine Organisationseinheit (OU) mit dem Namen DELETE (oder jeder andere von dir gewünschte Name)
- Öffne die Konsole und gib den Befehl
dsquery computer -inactive 30ein. Der Befehl zeigt eine Liste mit allen Computerkonten die seit 30 Tagen nicht verwendet wurden - Prüfe die Liste ob nicht einer dabei ist der nicht verschoben werden darf.
- Führe den Befehl erneut aus und übergib diesmal die Ausgabe an den Befehl dsmove. Mit dem Parameter -newparent sagst du dsmove er soll die Computerkonten in den folgenden Pfad legen. Der Pfad muss in Form des LDAP-DN´s angegeben werden. Die OU DELETE in der Domäne test.org hat den DN ou=DELETE,dc=test,dc=org.
dsquery computer -inactive 30 | dsmove -newparent DEINE DN DER OU - Prüfe unter "Active Directory Benutzer und Computer" in der OU DELETE ob du die Konten wirklich löschen kannst. Vorzugsweise sollte man Sie nur deaktivieren.
Eine Frage: was ist ein "dsrm"??
Ein anderer Befehl, diesmal zu löschen von AD-Objekten. Wenn du allerdings etwas per Script löschst, solltest du absolut sicher sein was da passiert. Das hat sonst unangenehme folgen.
Hey Datasearch..
Vielen vielen dank für deine ausführliche Hilfe ;)
Ich habe dein Befehl eingegeben und erhalte folgenden Fehler:
Allerdings hatte ich es mit diesem Befehl mehr erfolg
Nur leider sind dort auch Rechner drin, die noch aktiv sind??
Vielen vielen dank für deine ausführliche Hilfe ;)
Ich habe dein Befehl eingegeben und erhalte folgenden Fehler:
dsquery computer -inactive 30dsquery ist fehlgeschlagen:Falscher Parameter.:Diese Abfrage konnte nicht ausgeführt >werden, weil die Domäne, mit der Sie eine Verbindung hergestellt haben, diese Abfrage nicht >unterstützt.
Was ist den bei mir anders als bei Dir?Allerdings hatte ich es mit diesem Befehl mehr erfolg
dsquery computer -stalepwd 30 -limit 999Nur leider sind dort auch Rechner drin, die noch aktiv sind??
Welche Funktionsebene hat deine Domäne und wie viele Domänencontroller mit welchem Betriebssystem gibt es? Der Befehl
Der Parameter -stalepwd xx zeigt alle Computerkonten mit einem Kennwort älter als xx Tage. Standartmäßig ändern Computer ihr Kennwort alle 30 Tage, das heißt, wenn du 40 angibst, hast du alle Computer die aus irgendwelchen gründen ihr Kennwort in den letzten 40 Tagen nicht geändert haben. Da dies aber jeder Computer innerhalb dieser Zeitspanne macht (wenn er verbindung zur Domäne hat), sollten nur die entfernten übrigbleiben (übrigens, wenn ein Computer länger als 30 Tage getrennt war, musst du das Konto zurücksetzen und den betreffenden Computer neu in die Domäne aufnehmen). Dein Befehl lautet also:
Hintergrund: Du kannst den Zeitraum durch das Attribut MaximumPasswordAge steuern. wenn du zb. Computer hast, die länger als 30 Tage getrennt sind, entweder das maximale Alter erhöhen, den Computer vorrübergehend von der Domäne trennen oder damit leben das du den PC bei rückkehr an den Standort neu in die Domäne aufnehmen musst.
dsquery computer -inactive xx benötigt das lastLogonTimestamp-Attribut, welches leider erst in der Funktionsebene 2003Pur zur Verfügung steht.Der Parameter -stalepwd xx zeigt alle Computerkonten mit einem Kennwort älter als xx Tage. Standartmäßig ändern Computer ihr Kennwort alle 30 Tage, das heißt, wenn du 40 angibst, hast du alle Computer die aus irgendwelchen gründen ihr Kennwort in den letzten 40 Tagen nicht geändert haben. Da dies aber jeder Computer innerhalb dieser Zeitspanne macht (wenn er verbindung zur Domäne hat), sollten nur die entfernten übrigbleiben (übrigens, wenn ein Computer länger als 30 Tage getrennt war, musst du das Konto zurücksetzen und den betreffenden Computer neu in die Domäne aufnehmen). Dein Befehl lautet also:
dsquery computer --stalepwd 40.Hintergrund: Du kannst den Zeitraum durch das Attribut MaximumPasswordAge steuern. wenn du zb. Computer hast, die länger als 30 Tage getrennt sind, entweder das maximale Alter erhöhen, den Computer vorrübergehend von der Domäne trennen oder damit leben das du den PC bei rückkehr an den Standort neu in die Domäne aufnehmen musst.
Die Funktionsebene sieht wie folgt aus:
Grundsätzlich habe ich auf allen Servern WIN 2003 Server. Insgesammt habe ich 3 DC. Der erste ist der Primäre der zweite ist der Backup DC und der dritte eine SUB Domäne für eine bestimmte Abteilung..
Demnach müsste eigentlich dein Befehl funktionieren?? oder?
Oder kann ich den Server um "lastLogonTimestamp-Attribut" (???) erweitern.
Grundsätzlich habe ich auf allen Servern WIN 2003 Server. Insgesammt habe ich 3 DC. Der erste ist der Primäre der zweite ist der Backup DC und der dritte eine SUB Domäne für eine bestimmte Abteilung..
Demnach müsste eigentlich dein Befehl funktionieren?? oder?
Oder kann ich den Server um "lastLogonTimestamp-Attribut" (???) erweitern.
Da du weder NT4 noch Windows2000 Server als DC in deiner Domäne hast, kannst du die Funktionsebene problemlos heraufstufen. Dann sollte das Attribut vorhanden sein. Du hast gleich noch ein paar weitere Vorteile. Gerade was Replikation usw. angeht. Ich würde immer versuchen die höchstmögliche Funktionsebene zu verwenden um maximale Effizienz bei der Replikation zu erreichen.
Genaueres zu den Funktionsebenen findest du hier:
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/de/libra ...
Unabhängig vom DFL sollte aber der andere Befehl trotzdem funktionieren
Genaueres zu den Funktionsebenen findest du hier:
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/de/libra ...
Unabhängig vom DFL sollte aber der andere Befehl trotzdem funktionieren
Hi danke für die Hilfe,
der andere Befehl funktioniert ;)
Bevor ich nun den Server hochstufe.. frage ich noch mal vorsichtig.
Damit ich den ersten DC hochstufen kann, müssen doch alle DC auf der 2003 Landschaft laufen, die Clients betrifft das jedoch nicht oder?? Habe ich das richtig verstanden?
D.h. demnach betrifft das die Clients nicht auch wenn ich ein WIN98 Client sowie 2000er Rechner habe?
Kann ich das ohne bedenken machen? Nicht das mein Server anschliessend nicht hoch kommt?
der andere Befehl funktioniert ;)
Bevor ich nun den Server hochstufe.. frage ich noch mal vorsichtig.
Damit ich den ersten DC hochstufen kann, müssen doch alle DC auf der 2003 Landschaft laufen, die Clients betrifft das jedoch nicht oder?? Habe ich das richtig verstanden?
D.h. demnach betrifft das die Clients nicht auch wenn ich ein WIN98 Client sowie 2000er Rechner habe?
Kann ich das ohne bedenken machen? Nicht das mein Server anschliessend nicht hoch kommt?
Damit ich den ersten DC hochstufen kann, müssen doch alle DC auf der 2003 Landschaft laufen, die Clients betrifft das jedoch nicht oder?? Habe ich das richtig verstanden?
Ja, das betrifft alle domänencontroller in der Domäne (wenn du die Domänen-funktionsebene heraufstufen möchtest) und alle Domänencontroller in der Gesamtstruktur (also alle Domänen) wenn du diese heraufstufen möchtest. Die Clients sind dabei egal. Du kannst auch Windows2000 Server in die Domäne hinzufügen, nur eben nicht als Domänencontroller.
Grüße.
Super, der String funktioniert auch unter 2008 R2 einwandfrei.
Danke für die Hilfe!
Danke für die Hilfe!
