Мёртвые души в Active Directory

Материал из СисадминВики (SysadminWiki.ru)
Перейти к: навигация, поиск

Поиск "мёртвых душ" в Active Directory сводится к запросам к Active Directory через dsquery и последующей пакетной блокировке устаревших учётных записей домена. Команды надо выполнять в командной строке, запущеной от имени администратора. Параметры -uco (-uci) указывают, что нужно выгружать (загружать) текст в кодировке Юникод. :

  • Получить от контроллера домена список пользователей домена domain.name.local не активных более полугода (24 недели) и выгрузить его в файл:
dsquery user domainroot -d domain.name.local -inactive 24 -uco > C:\user.txt


  • Тоже самое для компьютеров:
dsquery computer domainroot -d domain.name.local -inactive 24 > C:\computer.txt


  • если команда запускается на контроллере домена, то имя домена можно не указывать (выводим на экран, поэтому кодировку можно тоже не указывать):
dsquery user domainroot -inactive 24


  • Отключение учётных записей, указанных в файле:
dsmod user -disabled yes -uci < C:\user.txt