如何查找並刪除AD域中多餘的計算機賬號？

如何將過時的計算機從computers容器中自動清除？由於有不少時候沒有按正常的方法退域，致使在AD的computers容器中存在不少過期的計算機，有沒有辦法讓它自動清除呢

對咱們廣大網絡管理員來講，用戶賬號和計算機賬號的管理是咱們最長見也是最難管理一項工做。咱們知道頻繁的系統重裝和加入域的過程會致使產生大量無效計算機賬號，如何清理這些無效計算機賬號就成爲了一個難題。

Q：
如何查找並刪除域中多餘的計算機賬號？

A：
若是咱們的域是Windows 2003域，咱們能夠經過dsquery命令的inactive參數排查出一段時間沒有活動的計算機。

附件中包含兩個cmd的文件，內容分別以下：

DisableComputer.CMD
dsquery computer -inactive 10 -stalepwd 70 |dsmod computer -disabled yes

查處10周未登錄的機器以及70天未能更改域計算機密碼的機器（數值可自行指定），而後把它們設成disabled。

備註：-inactive指得是機器未logon的時間，-stalepwd是機器密碼未改的時間，windows 2000以上的機器默認爲30天，咱們能夠二者結合來看看哪些是非active的機器。若是要用-inactive參數，須要2003純模式。若是單單使用-stalepwd，能夠在混合模式下運行。

dsquery對於不活動時間越長的計算機越正確。形成這一現象的緣由是Active Directory是根據計算機是否驗證身份來判斷其是否活動的。一臺1個月沒有開機的計算機固然是不活動的，可是一臺開機可是一個月無人操做的計算機也會被判斷爲不活動的，而第二種狀況在服務器上是比較常見的（好比文件共享服務器）。因此咱們不能根據dsquery結果馬上刪除計算機賬號，還須要作一些驗證工做（好比查詢這一計算機名的IP）。

DeleteComputer.CMD
dsquery computer -disabled | dsrm –noprompt

查出禁用機器而後刪掉。
備註：建議在使用DisableComputer.CMD兩週以後，沒有用戶報錯的狀況下再使用DeleteComputer.CMD來刪除域中多餘的計算機賬號。