域內(nèi)管理很多用戶和計(jì)算機(jī)，但是常常有無(wú)用的用戶和計(jì)算機(jī)沒(méi)有退出域，而浪費(fèi)域內(nèi)的資源。如何刪除一段時(shí)間內(nèi)沒(méi)有登錄域非活動(dòng)計(jì)算機(jī)賬號(hào)呢？下文給出了詳細(xì)的描述。

命令：dsquery

http://technet.microsoft.com/en-us/library/cc755655.aspx

工具：oldcmp

使用OldCmp，你可以搜索、禁用或者刪除非活動(dòng)計(jì)算機(jī)賬號(hào)。甚至更好的是，你可以創(chuàng)建一個(gè)簡(jiǎn)單的批處理文件來(lái)使這個(gè)過(guò)程自動(dòng)化。

當(dāng)你用OldCmp來(lái)執(zhí)行一個(gè)搜索的時(shí)候，你必須指定以下三種可能選項(xiàng)中的至少一種：

-report（生成一張列有非活動(dòng)計(jì)算機(jī)賬號(hào)的HTML報(bào)告列表）

-disable（禁用非活動(dòng)計(jì)算機(jī)賬號(hào)）

-delete（刪除非活動(dòng)計(jì)算機(jī)賬號(hào)）

如果你運(yùn)行OldCmp時(shí)只加了-report選項(xiàng)，它會(huì)搜索你默認(rèn)域中所有計(jì)算機(jī)密碼老化日期大于90天的計(jì)算機(jī)對(duì)象，并且把結(jié)果生成為一個(gè)HTML報(bào)告。如果你的域非常大，并且里面有很多計(jì)算機(jī)賬號(hào)，這條命令可能得花上一段時(shí)間來(lái)執(zhí)行完畢。為了減少OldCmp的運(yùn)行時(shí)間，你可以使用-b選項(xiàng)來(lái)指定一個(gè)特定的組織單元。

OldCmp生成的HTML文件會(huì)被放到該工具的運(yùn)行目錄下，除非你用-file選項(xiàng)指定了一個(gè)替換位置。如果你包括了-sh選項(xiàng)，OldCmp會(huì)在生成HTML文件后自動(dòng)打開(kāi)它。

如果你想定期地生成HTML報(bào)告，你所需要做地全部就是創(chuàng)建一個(gè)只包含兩行代碼的批處理（.bat）文件，如表1所示。其中***行運(yùn)行OldCmp，而第二行運(yùn)行Blat。Blat是一個(gè)把文件內(nèi)容通過(guò)電子郵件發(fā)送出去的工具，你可以從http://blat.net下載該工具。在第二行中，注意用-to選項(xiàng)設(shè)置你自己的電子郵件地址。另外，確認(rèn)OldCmp和Blat都被放到了你的運(yùn)行路徑下（即在PATH環(huán)境變量中定義的路徑）。

建立了批處理文件之后，你需要?jiǎng)?chuàng)建一個(gè)計(jì)劃任務(wù)。確認(rèn)你為其指定了一個(gè)合適的域賬號(hào)和密碼，使該腳本有足夠的權(quán)限在域中查詢計(jì)算機(jī)對(duì)象。

辨別非活動(dòng)計(jì)算機(jī)賬號(hào)很有幫助，但更可能的是，你有時(shí)候想清除那些賬號(hào)。我的一般建議是先禁用那些非活動(dòng)賬號(hào)，然后經(jīng)過(guò)一個(gè)星期或一個(gè)月的觀察，再刪除那些禁用了的賬號(hào)。這樣能保證確實(shí)沒(méi)有人在使用我們刪掉的那些賬號(hào)。

表2包含的批處理文件是用來(lái)刪除禁用的計(jì)算機(jī)賬號(hào)，以及禁用新發(fā)現(xiàn)的非活動(dòng)計(jì)算機(jī)賬號(hào)的。這個(gè)批處理文件有兩段命令（注意不要交換次序）。***段用OldCmp刪除禁用了的計(jì)算機(jī)賬號(hào)，并且創(chuàng)建deleted_comps.html報(bào)告，接著用Blat把該報(bào)告發(fā)送到XXX@XXX.com。第二段用OldCmp禁用所有計(jì)算機(jī)密碼舊于180天的計(jì)算機(jī)賬號(hào)，并且創(chuàng)建disabled_comps.html報(bào)告，接著用Blat發(fā)送該報(bào)告。

在寫(xiě)OldCmp的時(shí)候，Joe考慮到人們可能會(huì)意外地刪除或禁用數(shù)以千計(jì)的計(jì)算機(jī)賬號(hào)，所以他加了一些預(yù)防措施，包括你所見(jiàn)到的在每個(gè)命令集中都有的-safety和-forreal選項(xiàng)。-safety選項(xiàng)用來(lái)限制腳本所能刪除或者禁用的賬號(hào)數(shù)量。默認(rèn)情況下，OldCmp不會(huì)刪除或禁用超過(guò)10個(gè)賬號(hào)。若把-safety選項(xiàng)值設(shè)為100，則OldCmp最多可以刪除100個(gè)賬號(hào)。-forreal選項(xiàng)用來(lái)真正刪除或者禁用賬號(hào)。如果不用-forreal選項(xiàng)，OldCmp只會(huì)報(bào)告它要?jiǎng)h除或禁用的賬號(hào)，而不會(huì)真正地刪除或者禁用它們。

在使用表2中的批處理文件之前，你需要自定義在兩行Blat命令中的電子郵件地址。此外切記，為了測(cè)試，你應(yīng)該先去掉兩行OldCmp命令中的-forreal選項(xiàng)，然后運(yùn)行批處理文件來(lái)確定OldCmp將要?jiǎng)h除或者禁用的賬號(hào)無(wú)誤。

表1：建立非活動(dòng)計(jì)算機(jī)賬號(hào)報(bào)告的批處理文件

oldcmp-report-filec:\inactive.html

blatc:\inactive.html-toXXX@XXX.com-html

表2：刪除被禁用的計(jì)算機(jī)賬號(hào)和禁用新發(fā)現(xiàn)的非活動(dòng)計(jì)算機(jī)賬號(hào)的批處理文件

oldcmp-delete-onlydisabled-safety100-forreal-append-filec:\deleted_comps.html

blatc:\deleted_comps.html-toXXX@XXX.com-html

oldcmp-disable-age180-safety100-forreal-append-filec:\disabled_comps.html

blatc:\disabled_comps.html-toXXX@XXX.com-html

希望本文介紹的刪除域內(nèi)非活動(dòng)計(jì)算機(jī)賬號(hào)的方法能夠?qū)ψx者有所幫助。

【編輯推薦】

1. 組策略如何限制域用戶的權(quán)限？
2. 組策略與注冊(cè)表之間的區(qū)別和聯(lián)系
3. windows 2000域控制器診斷工具簡(jiǎn)介
4. 組策略如何隱藏和禁用以及遠(yuǎn)程編輯？
5. 利用組策略如何修改活動(dòng)目錄域緩存登錄次數(shù)？