Очистить Active Directory

У вас уже есть все необходимые инструменты на вашем контроллере домена. Основная команда, которую вы хотите использовать, это DSQUERY. Чтобы найти объекты, которые были неактивными в течение 52 недель, откройте окно CMD и введите:

DSQUERY computer -inactive 52
DSQUERY user -inactive 52

Вы также можете искать устаревшие пароли, используя -stalepwd <num of days> переключатель вместо -inactive. Вы также можете искать отключенные учетные записи, используя -disabled переключатель

Если вы хотите перейти на следующий уровень, вы можете настроить автоматическое перемещение объектов в любое подразделение по вашему выбору (где вы можете затем проанализировать, что там находится, прежде чем предпринимать какие-либо дальнейшие действия), передав результаты в команду DSMOVE, например, :

DSQUERY computer -inactive 52 | DSMOVE -newparent <distinguished name of target OU>

Вот все встроенные команды DS для экспериментов:

dsadd /? - help for adding objects.
dsget /? - help for displaying objects.
dsmod /? - help for modifying objects.
dsmove /? - help for moving objects.
dsquery /? - help for finding objects matching search criteria.
dsrm /? - help for deleting objects.

OldCmp by JoeWare часто используется, простой инструмент командной строки, который создает веб-отчеты о пользователях и компьютерах, которые долгое время не аутентифицировались в сети. Также можете удалить их из AD за вас.

В моей предыдущей должности, глобальной сети с примерно 15 000 пользователей, мы запускали пакетный файл каждый месяц, используя команду dsmove, как описал Иззи, для перемещения всех неактивных учетных записей пользователей и компьютеров в зону хранения. Оператор периодически вручную проверял эти учетные записи по списку пользователей, о которых известно, что они находятся в длительном отпуске, и удалял всех, которых не было в этом списке. То, что раньше было трудоемким ручным управлением, превратилось в простую полуавтоматическую задачу, занимающую всего пару минут в месяц.