Quick-n-Easy для удаления устаревших пользователей ActiveDirectory?
В настоящее время не много стоит на пути рекламных объявлений жулика кроме попытки быть ответственным и фильтрация Ваших объявлений BGP, исходящих к Вашим восходящим потокам и надежде, что они делают то же.
Интернет-таблица маршрутизации является столь большой (~290 000 маршрутов в тот самый момент), что обычно трудно создать фильтры для блокировки вниз каждого маршрута (также: устройство не способно к наличию списка доступа с большим количеством маршрутов, или если бы это, оказывается, Ваша производительность ухудшилась бы столь значительно из-за использования ЦП, что Вы не вернулись бы ни к какой фильтрации).
В то время как некоторые ISPs действительно выполняют фильтрацию на том, что они получают от клиентов (и другие могут потребовать, чтобы клиенты зарегистрировали свои маршруты в RADB, глобальном реестре маршрутизации), это работает отлично на Вас, и меня с говорят, 1 - 25 маршрутов. В случаях крупных клиентов (кабельные компании, управляемый государством ISPs, и т.д.) становится немного трудным создать и поддержать список доступа для этих людей, которые будут нести 500, 600, и иногда даже 2 000 маршрутов, таким образом, Вы принимаете решение не отфильтровать и это становится вопросом доверия и предположений:
"Вы выполняете достаточно большую сеть, таким образом, Вы, должно быть, сделали что-то правильно в прошлом, и мы все извлекли уроки из разгрома AS7007/SprintLink, правильно? Поэтому не отправляйте мне злые маршруты".
Многоречивая и юмористическая история в стороне, это - коммерческий Интернет в его юности, где у людей есть различные программы, таким образом, без еще некоторых продвижений в лошадиной силе плоскости управления от поставщиков сетевого оборудования, нет очень, чтобы сделать в данный момент, не принимая компромисс производительности безопасности во внимание:
- Соглашение с угоном маршрута YouTube, если и когда это происходит для мгновенного неудобства? Или оштрафуйте производительность всех своих клиентов, чтобы удостовериться, что кошка клавиатуру продолжает играть?
Можно использовать dsquery определять местоположение неактивных пользователей:
dsquery user -inactive 10 -limit 0
Должен возвратить всех пользователей, неактивных в течение 10 недель или больше.
От dsquery user /?
...
-inactive <NumWeeks> Finds users that have been inactive
(not logged on) for at least <NumWeeks>
number of weeks.
...
Можно передать вывод по каналу в dsrm, если Вы хотите удалить списки из домена. Обратите внимание, что это не потрудится предлагать Вам, так примените ассигновать сумму в размере осторожности.
dsquery user -inactive 10 -limit 0 | dsrm -noprompt
Посмотрите этот несколько связанный вопрос: Удаление старых компьютеров на домене
-
1Ой, я предполагаю, что использовал неправильные критерии поиска.Спасибо! – Jason Taylor 25 March 2010 в 17:24
-
2@Jason: процесс является по существу тем же для пользователей или компьютеров. dsquery действительно предлагает опции для каждого типа объекта. Проверьте " dsquery/? " для получения дополнительной информации. – jscott 25 March 2010 в 17:26
Если Вы просто выполните dsquery в контексте названного пакетного файла больше чем с одним объектом, выбранным из Вашего dsquery, то Вы станете "dsmove отказавшими (пользователь), неизвестный параметр".
У меня есть два пакета (один для учетных записей компьютера и один для учетных записей пользователей), которые выполняют ежемесячно из окон sch задачи. У них есть следующий код:
Для компьютеров:
for /f "Tokens=*" %%s in ('dsquery computer -inactive 5 -limit 0') do (
DSMOVE %%s -newparent "OU=Computers,OU=Quarantine,OU=MyOu,DC=MyDomain,DC=local"
)
Для пользователей:
for /f "Tokens=*" %%s in ('dsquery user -inactive 5 -limit 0') do (
DSMOVE %%s -newparent "OU=Users,OU=Quarantine,OU=MyOu,DC=MyDomain,DC=local"
)
Мне обратились к GPOS они "Карантин" OUs, которые имеют подсказки входа в систему, чтобы уведомить пользователя, что учетная запись пользователя или учетная запись компьютера, будет удаленной и связываться со Справочной службой, если они полагают, что это по ошибке. GPOS также делает некоторую блокировку вниз действия. Затем я рассматриваю перемещенные объекты для, вручную удаляют, если я не вижу исключений (как пользователь на летних каникулах, или офлайн, но важный сервер).
Можно изменить dsmove на dsrm, если Вы хотите пропустить перемещение OU и обзор.
Посмотрите здесь: Сценарий Active Directory: DSMOVE перестал работать
Если бы Вы - поклонник Powershell, я посетил бы www.quest.com и использовал бы их комплект инструментов для Active Directory. Они свободны.
Команды PowerShell для Active Directory
Shell управления ActiveRoles для Active Directory является рядом команд PowerShell, которые могут использоваться, чтобы выполнить и автоматизировать задачи администрирования как обнаружение AD среды, изменение свойств пользователя, изменение состава группы, настройка новых учетных записей пользователей и выполнение нескольких других задач в Active Directory.