Das Active Directory ist das Herzstück der Computer und Userverwaltung in den Microsoft Netzwerken. Die Administratoren sind in der Regel alle angehalten, das Active Directory mit allen notwendigen Informationen immer auf dem aktuellsten Stand zu halten. Jeder, der eine AD-Struktur administriert, weiß letztendlich, wie schwer dies oft ist.
Computer bzw. Anwender ändern sich gerade in Domänen mit mehreren hundert oder tauschend Anwendern so schnell, dass durchaus auch „Leichen“ entstehen können. Das bedeutet, dass AD-Objekte, die eigentlich nicht mehr vorhanden sein sollten, sich doch noch im AD tummeln und aufgeräumt gehören.
Inaktive Computerkonten finden
Aus diesem Grund möchten wir Euch heute zeigen, wie Ihr mit sehr einfachen Mitteln „veraltete“ Computer oder Benutzer im Active Directory finden könnt und diese dann der Reihe nach abarbeiten könnt. Der Befehl, um veraltete Computer aufzulisten, lautet
dsquery computer -inactive <ANZAHL WOCHEN>
Dies bedeutet, dass Ihr den Platzhalter „Anzahl Wochen“ durch eine Zahl ersetzen sollt, damit Euch nur die Computerobjekte angezeigt werden, die bereits seht mehr als z.B. 30 Wochen nicht mehr benutzt wurden. Folgende ähnliche Ausgabe wird Euch dann entsprechend angezeigt.
„CN=MUCPC001,OU=Server,OU=MUC,OU=_Standorte,DC=WINDOWS-FAQ,DC=de“
„CN=MUCPC009,OU=Server,OU=MUC,OU=Citrix,DC=WINDOWS-FAQ,DC=de“
„CN=MUCPC012,OU=Clients,OU=MUC,OU=_Standorte,DC=WINDOWS-FAQ,DC=de“
„CN=MUCPC022,OU=Clients,OU=MUC,OU=_Standorte,DC=WINDOWS-FAQ,DC=de“
„CN=MUCSVR01,OU=Clients,OU=MUC,OU=_Standorte,DC=WINDOWS-FAQ,DC=de“
„CN=MUCSVR06,OU=Clients,OU=MUC,OU=_Standorte,DC=WINDOWS-FAQ,DC=de“
„CN=MUCSW07,OU=Clients,OU=FRA,OU=_Standorte,DC=WINDOWS-FAQ,DC=de“
…….
Über die Umleitung „> dateiname.txt“ könnt Ihr Euch die Ergebnisse natürlich auch in eine Textdatei schreiben lassen, damit Ihr diese dann entsprechend über ein Notepad oder auch über Excel weiterverarbeiten könnt.
Inaktive User im AD finden
Äquivalent zum Auflisten der inaktiven Computerkonten könnt Ihr das auch für inaktive User im Active Directory durchführen. Der dazu passende Befehl lautet
dsquery user -inactive <ANZAHL WOCHEN>
Die Ergebnisliste dieses Befehls sieht ähnlich aus die bei den inaktiven Computerkonten.
Wenn Ihr diese beiden Befehle auf Euren Clients ausführen wollt, dann ist Voraussetzung, dass Ihr die RSAT Tools (Remote Server Administration Tools) für Eure jeweilige Windows Version installiert habt. Ist dies nicht der Fall, dann bleibt Euch nur die Ausführung direkt auf einem Domänencontroller.
Mit dem Befehl „dsquery“ könnt Ihr aber noch viel mehr machen. Ihr könnt die AD Gruppen abfragen und in eine Textdatei exportieren oder auch abfragen, welche Active-Directory (AD) Gruppen ein Benutzer besitzt.
– PowerShell Befehl zum Deaktivieren der Firewall
– Die Limits der Fine Grained Password Policies in Windows AD
– Was ist LDAP?
Empfohlene Beiträge
-
Welche Active-Directory (AD) Gruppen besitzt ein Benutzer (DSGET) -
Mit Redircmp Computerkonten Standard OU ändern bzw. in andere OU umleiten -
Distinguished Name (DN) oder vollständigen Active Directory Pfad abfragen
-
Rechte zum Hinzufügen von Windows Clients zur Domäne einschränken -
Liste der Homeverzeichnisse, des Home-Laufwerkes und des Profilpfades aller AD-User erstellen -
AD Userliste in CSV Datei exportieren
-
Organisationseinheiten (Container) trotz Schutz im Active Directory löschen
-
AD Gruppe ohne Mitglieder feststellen per PowerShell -
Computer Konten im AD feststellen, die sich schon lange nicht mehr gemeldet haben
-
Feststellen, welcher AD User sich noch nie angemeldet hat -
Liste aller AD User incl. E-Mailadresse ausgeben -
Liste der User die sich in den letzten „x“ Tagen am AD angemeldet haben
-
Benutzerkonto deaktivieren unter Windows 10 -
Alle Benutzerkonten Informationen eines lokalen Users abfragen
-
Set-ADUser – Ändern von Informationen im AD per PowerShell
-
Anzahl der AD (Active Directory) Objekte zählen per PowerShell -
Domänen-Controller (DC) virtualisieren (P2V) – Teil 3 (DNS & Active Directory Probleme)
Neueste Kommentare