Что определяет AD объект как “неактивный”
Я не знаю о способе заставить конкретные клиенты входить в систему к конкретным контроллерам домена, но можно скорректировать приоритет контроллеров домена. По умолчанию все контроллеры домена имеют самый высокий приоритет, 0, таким образом, они все равны, Вы могли установить приоритет потенциально DC отказа к самому низкому так, чтобы его попробовали в последний раз.
Для изменения приоритета контроллера домена, необходимо отредактировать реестр DC, необходимо изменить значение в этом ключе:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
Приоритет DC установлен в LdapSrvPriority Reg_Dword, если он не существует, Вам, вероятно, придется добавить его. Где больше чем один DC имеет тот же приоритет, вес сервера используется, это хранится в LdapSrvWeight Reg_Dword.
Очевидно, обычные предупреждения о редактировании Вашего реестра применяются!
Ну, если Вы работаете dsquery user /? это говорит Вам это
- неактивные пользователи Находок, которые были неактивны (не вошел в систему), по крайней мере, для числа недель.
Для компьютеров это просто говорит 'устаревший', таким образом, мы можем предположить, что это - то же самое - количество времени, так как домен видел, что учетная запись компьютера аутентифицируется.
Для Вашего гипотетического я уверен, приводимый в действие - на и имеющий хорошие связи компьютер не обнаружился бы как устаревший. Существуют вещи как обновление GPO и тайм-ауты Kerberos, которые вызывают действие в фоновом режиме, я уверен, что они обновились бы, любой 'устаревший' счетчик существует.
-
1и это - то, что я пытаюсь выяснить – Malnizzle 26 February 2010 в 19:50
-
2I' m верный it' s, не используя пароль длятся изменение, потому что dsquery компьютер также имеет флаг-stalepwd. Вероятный AD оценивает, я вижу на Компьютерном объекте, lastLogon, lastLogonTimestamp, pwdLastSet, uSNChanged, и whenChanged. Не находя серьезную документацию относительно dsquery компьютерной команды, это могло искать одну (или больше) любого из тех значений для определения неактивности. – mfinni 26 February 2010 в 20:15
Этот атрибут должен быть основан на lastlogonTimestamp. См. сообщение от JOE (MVP)
"http://technet.microsoft.com/en-us/library/cc725702 (WS.10) .aspx
dsquery использует атрибут lastLogonTimeStamp. Этот атрибут используется только в режиме Windows Server 2003 DFL и не до минуты, это будут до 7 выходных по умолчанию.
Что касается почтовых ящиков ресурса Exchange. Нет никакого гарантируемого чистого универсального способа найти, которые используются или нет. В моем реальном задании я - консультант высокого уровня для организации Служб обмена сообщениями и всех вместе, что наши команды управляют буквально миллионами почтовых ящиков через многие крупнейшие компании во всем мире. Это - проблема, мы смотрели в течение некоторого времени для гарантируемого решения и нет того. Вы можете находить что-то, что работает локально, если Вы понимаете, как Ваши почтовые ящики ресурса используются..., например, Вы можете смотреть на отслеживание журналов и если никакая почта не входит или выходит, который означает, что они не используются. Существует атрибут входа в систему для почтовых ящиков, но он обновляется локальной системой, когда он сканирует через почтовые ящики с AV или другими объектами, и он также обновляется, когда другие просматривают календари или делегированные папки.
joe
- Joe Richards Microsoft MVP Windows Server Directory Services Author выпуска трети Active Directory O'Reilly www.joeware.net"