Veraltete Computer oder User im Active Directory finden

Das Active Directory ist das Herzstück der Computer und Userverwaltung in den Microsoft Netzwerken. Die Administratoren sind in der Regel alle angehalten, das Active Directory mit allen notwendigen Informationen immer auf dem aktuellsten Stand zu halten. Jeder, der eine AD-Struktur administriert, weiß letztendlich, wie schwer dies oft ist.

Computer bzw. Anwender ändern sich gerade in Domänen mit mehreren hundert oder tauschend Anwendern so schnell, dass durchaus auch „Leichen“ entstehen können. Das bedeutet, dass AD-Objekte, die eigentlich nicht mehr vorhanden sein sollten, sich doch noch im AD tummeln und aufgeräumt gehören.

Inaktive Computerkonten finden

Aus diesem Grund möchten wir Euch heute zeigen, wie Ihr mit mit Befehl „dsquery“ veraltete Computer oder Benutzer im Active Directory finden könnt und diese dann der Reihe nach abarbeiten könnt. Der Befehl, um veraltete Computer aufzulisten, lautet

dsquery computer -inactive <ANZAHL WOCHEN>

Dies bedeutet, dass Ihr den Platzhalter „Anzahl Wochen“ durch eine Zahl ersetzen sollt, damit Euch nur die Computerobjekte angezeigt werden, die bereits seht mehr als z.B. 30 Wochen nicht mehr benutzt wurden. Folgende ähnliche Ausgabe wird Euch dann entsprechend angezeigt.

„CN=MUCPC001,OU=Server,OU=MUC,OU=_Standorte,DC=WINDOWS-FAQ,DC=de“
„CN=MUCPC009,OU=Server,OU=MUC,OU=Citrix,DC=WINDOWS-FAQ,DC=de“
„CN=MUCPC012,OU=Clients,OU=MUC,OU=_Standorte,DC=WINDOWS-FAQ,DC=de“
„CN=MUCPC022,OU=Clients,OU=MUC,OU=_Standorte,DC=WINDOWS-FAQ,DC=de“
„CN=MUCSVR01,OU=Clients,OU=MUC,OU=_Standorte,DC=WINDOWS-FAQ,DC=de“
„CN=MUCSVR06,OU=Clients,OU=MUC,OU=_Standorte,DC=WINDOWS-FAQ,DC=de“
„CN=MUCSW07,OU=Clients,OU=FRA,OU=_Standorte,DC=WINDOWS-FAQ,DC=de“
…….

Über die Umleitung „> dateiname.txt“ könnt Ihr Euch die Ergebnisse natürlich auch in eine Textdatei schreiben lassen, damit Ihr diese dann entsprechend über ein Notepad oder auch über Excel weiterverarbeiten könnt.

Inaktive User im AD finden

Äquivalent zum Auflisten der inaktiven Computerkonten könnt Ihr das auch für inaktive User im Active Directory durchführen. Der dazu passende Befehl lautet

dsquery user -inactive <ANZAHL WOCHEN>

Die Ergebnisliste dieses Befehls sieht ähnlich aus die bei den inaktiven Computerkonten.

Wenn Ihr diese beiden Befehle auf Euren Clients ausführen wollt, dann ist Voraussetzung, dass Ihr die RSAT Tools (Remote Server Administration Tools) für Eure jeweilige Windows Version installiert habt. Ist dies nicht der Fall, dann bleibt Euch nur die Ausführung direkt auf einem Domänencontroller.

Mit dem Befehl „dsquery“ könnt Ihr aber noch viel mehr machen. Ihr könnt die AD Gruppen abfragen und in eine Textdatei exportieren oder auch abfragen, welche Active-Directory (AD) Gruppen ein Benutzer besitzt.

– PowerShell Befehl zum Deaktivieren der Firewall
– Die Limits der Fine Grained Password Policies in Windows AD
– Was ist LDAP?

Empfohlene Beiträge