Inaktive und alte Computerkonten im ActiveDirectory finden

Ein offenes Geheimnis unter Administratoren ist, das kaum jemand sein Active Directory vollumfänglich pflegt. Computer werden getauscht, neu installiert oder gewechselt ohne das jemand die verwaisten Konten entfernt. Doch wie findet man diese Einträge möglich schnell?

Computer ändern ihre Computerkennwort für die Domänenanmeldung selbstständig alle 30 Tage (unter NT4 waren das noch 7 Tage). Daher ist eine längere Kennwortänderung schon ein recht gutes Indiz für „tote“ Computerkonten.

So bekommt man (ab der Windows 2003 pur Funktionsebene) veraltete Computerkonten:

dsquery computer -stalepwd 50

„stalepwd“ gibt die Anzahl abgelaufenen Tage von „heute“ aus an. Die Ausgabe des Kommandos dann auch direkt in dsrm umgeleitet werden, um die toten Rechner direkt zu löschen:

dsquery computer -stalepwd 50 | dsrm -noprompt -c

One Reply to “Inaktive und alte Computerkonten im ActiveDirectory finden”

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.