Я собираюсь использовать несколько сценариев DSQUERY / DSMOVE для очистки моего AD Domin. Один из вариантов - переместить неактивные объекты в подразделение, к которому применены ограничительные объекты групповой политики.
Что-то вроде:
DSQUERY computer -inactive 10 | DSMOVE -newparent <distinguished name of target OU>
Мой вопрос: какое значение определяет объект, как пользователя, так и компьютер, как «неактивный» в течение определенного периода времени? Был ли это последний раз, когда компьютер входил в систему для учетных записей компьютеров, а для пользователей - это последний раз, когда учетная запись пользователя входила в систему на компьютере?
Но что, если, скажем, у меня был веб-сервер, который не был перезагружен и / или не входил в систему в течение нескольких месяцев, но оставался включенным и работающим в обычном режиме, был бы он определен как «неактивный», когда технически он все еще работает веб-страницы и так далее?
Спасибо за помощь!
Этот атрибут должен быть основан на lastlogonTimestamp. См. Сообщение JOE (MVP)
"http://technet.microsoft.com/en-us/library/cc725702(WS.10).aspx
dsquery использует атрибут lastLogonTimeStamp. Этот атрибут используется только в режиме DFL Windows Server 2003 и не с точностью до минуты, по умолчанию он будет отключен до 7 дней.
Что касается почтовых ящиков ресурсов Exchange. Не существует гарантированного чистого универсального способа узнать, какие из них используются, а какие нет. В моей реальной работе я являюсь консультантом высокого уровня для организации службы обмена сообщениями, и все наши команды вместе управляют буквально миллионами почтовых ящиков во многих крупнейших компаниях по всему миру. Это проблема, которую мы какое-то время искали для гарантированного решения, но ее нет. Вы можете найти что-то, что работает локально, если вы понимаете, как используются ваши почтовые ящики ресурсов ... например, вы можете посмотреть журналы отслеживания, и если почта не приходит или не выходит, это означает, что они не быть использованным. Для почтовых ящиков существует атрибут входа в систему, но он обновляется локальной системой, когда она сканирует почтовые ящики с помощью AV или других элементов, а также обновляется, когда другие просматривают календари или делегированные папки.
Джо
- Джо Ричардс, специалист по Microsoft MVP по службам каталогов Windows Server, автор третьего издания O'Reilly Active Directory www.joeware.net "
Хорошо, если ты убежишь dsquery user /? он говорит вам это
-inactive Находит пользователей, которые были неактивны (не вошли в систему) в течение как минимум нескольких недель.
Для компьютеров он просто говорит «устаревший», поэтому мы можем предположить, что это одно и то же - количество времени, прошедшее с того момента, как домен проверил аутентификацию этой учетной записи компьютера.
Что касается вашей гипотезы, я уверен, что включенный и хорошо подключенный компьютер не будет отображаться как устаревший. Есть такие вещи, как обновление GPO и тайм-ауты Kerberos, которые вызывают активность в фоновом режиме, я уверен, что они обновят любой существующий «устаревший» счетчик.