使用BitLocker恢复密钥的计算机列表

我们正在删除AD中旧帐户密码超过60天(目前有超过15,000个帐户属于此存储桶)的旧帐户。 为了得到这个列表,我运行了这个简单的dsquery语句来生成一个列表:

dsquery computer -stalepwd 60 -limit 100000> C:\ Temp \ Servers.txt

我们目前使用的GPO需要计算机使用BitLocker并将其恢复密钥存储在AD中。 问题是,在超过15,000个计算机帐户中,我无法删除那些在AD中具有BitLocker的用于归档目的的帐户,因此我需要find一种方法来删除该列表。 我想要的最终结果是计算机帐户的列表,其中包含计算机帐户密码已过期,但AD中没有存储BitLocker恢复密钥。

有没有人做过之前,或知道从哪里开始寻找像这样的成就?

在Joe Richards的网站http://www.joeware.net上抓取“AdFind”,然后给这个脚本一个镜头(显然,直到你确信自己正在做你想要的东西)。

@echo off for /f "usebackq delims=" %%i in (`dsquery computer -stalepwd 60 -limit 100000`) do ( call :do_find %%i ) goto end :do_find rem Search for computer at specified DN without a Bitlocker recovery key. adfind -b %1 -f "(msFVE-RecoveryPassword=*)" 2>NUL | find "0 Objects returned" >NUL 2>NUL if errorlevel 1 goto end rem Echo DNs of computers w/o bitlocker recovery keys echo %1 :end 

这应该循环通过计算机w /“陈旧”的密码检查存在一个非空属性为“MSFVE-RecoveryPassword”的对象在每个“陈旧”的计算机被发现的DN。 如果没有对象返回,则目录中不存在恢复密码。

乔理查兹真的值得在他的工具背部拍拍。 他们让生活pipe理AD变得更容易。