我将使用一些 DSQUERY/DSMOVE 脚本来清理我的 AD Domin。一种选择是将非活动对象移动到应用了限制性 GPO 的 OU。
就像是:
DSQUERY computer -inactive 10 | DSMOVE -newparent <distinguished name of target OU>
我的问题是什么值将用户和计算机的对象定义为“非活动”一段时间?这是计算机帐户最后一次登录计算机吗?对于用户来说,这是用户帐户最后一次登录计算机吗?
但是,例如,如果我有一个网络服务器几个月没有重新启动和/或登录,但仍保持开机并正常运行,它会被定义为“非活动”吗?从技术上讲,它仍在服务网页等等?
谢谢您的帮助!
好吧,如果你运行
dsquery user /?它会告诉你这个对于计算机,它只是说“陈旧”,因此我们可以假设它是同一件事 - 自域看到该计算机帐户获得身份验证以来的时间量。
对于您的假设,我敢肯定,一台开机且连接良好的计算机不会显得陈旧。诸如 GPO 刷新和 Kerberos 超时之类的事情会导致后台活动,我确信这些会刷新任何存在的“陈旧”计数器。
此属性应基于 lastlogonTimestamp。参见 JOE (MVP) 的帖子
" http://technet.microsoft.com/en-us/library/cc725702(WS.10).aspx
dsquery 使用 lastLogonTimeStamp 属性。此属性仅在 Windows Server 2003 DFL 模式下使用,并且不是最新的,默认情况下最多 7 天。
至于 Exchange 资源邮箱。没有保证干净的通用方法来查找哪些正在使用或未使用。在我的实际工作中,我是一个消息服务组织的高级顾问,我们的团队一起管理着全球许多最大公司的数百万个邮箱。这是一个我们已经寻找有保障的解决方案一段时间的问题,但目前还没有。如果您了解资源邮箱的使用方式,您可能能够找到在本地工作的东西......例如,您可能能够查看跟踪日志,如果没有邮件进出,这意味着它们不是正在使用。邮箱有一个登录属性,
乔
-- Joe Richards Microsoft MVP Windows Server Directory Services 作者 O'Reilly Active Directory 第三版 www.joeware.net “