如何findAD中不再需要的计算机帐户

Oldcmp是众所周知的，它会做的很好，第一次，偶尔清理。
如果随着时间的推移，你想要一个自动化的过程，你可以使用Powershell（强烈推荐）为此写一个自动化的过程。 例如，我们当前的脚本执行以下操作：

• 根据lastLogonTimeStamp使用get-ADcomputer查找旧帐户
• 在60天后禁用它们
• 90天后删除它们
• logging它所做的一切

另外，如果我们不想删除它，我们使用帐户上的ProtectFromAccidentialDeletion标志。

没有任何方法可以区分已经不存在的机器和已经不存在的机器，因此使用OldComp进行清理并处理一次性当他们出现时

为什么不是PowerShell？

  $Computers = ([ADSISearcher]"(&(objectCategory=computer)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))").FindAll() $Computers = $Computers | ForEach { $_.Path } $Age = $(Get-Date).AddDays(-90) $StaleComputerAccounts = @() $NeverUsedComputerAccounts = @() ForEach ($Computer in $Computers) { $ComputerObj = [ADSI]$Computer if ($ComputerObj.lastLogon) { $LastLogon = [DateTime]::FromFileTime($ComputerObj.ConvertLargeIntegerToInt64($ComputerObj.lastlogon[0])) if ( $LastLogon -lt $Age ) { $StaleComputerAccounts += $Computer } } else { $NeverUsedComputerAccounts += $Computer } } 

你应该得到一个$StaleComputerAccounts和$NeverUsedComputerAccounts的列表，然后你可以用更多的PowerShell来操作。 我喜欢做这样的事情：

 $TargetOU = "OU=Computers,OU=Disabled,OU=,DC=CONTOSO,DC=com" $OUObj = [ADSI]"LDAP://$TargetOU" ForEach ($Computer in $StaleComputerAccounts) { $ComputerObj = [ADSI]$Computer $ComputerObj.PSBase.MoveTo($OUObj) $ComputerObj.InvokeSet("accountDisabled", $True) $ComputerObj.SetInfo() } 

没有什么不可思议的方式来区分不正确退役的计算机（没有人在离线时将其从Active Directory中删除）以及坐在某个执行人员桌上的笔记本电脑。 如果您想要谨慎行事，您可以closures帐户并像我一样将其发送到特定的OU。