Ein offenes Geheimnis unter Administratoren ist, das kaum jemand sein Active Directory vollumfänglich pflegt. Computer werden getauscht, neu installiert oder gewechselt ohne das jemand die verwaisten Konten entfernt. Doch wie findet man diese Einträge möglich schnell?
Computer ändern ihre Computerkennwort für die Domänenanmeldung selbstständig alle 30 Tage (unter NT4 waren das noch 7 Tage). Daher ist eine längere Kennwortänderung schon ein recht gutes Indiz für „tote“ Computerkonten.
So bekommt man (ab der Windows 2003 pur Funktionsebene) veraltete Computerkonten:
dsquery computer -stalepwd 50
„stalepwd“ gibt die Anzahl abgelaufenen Tage von „heute“ aus an. Die Ausgabe des Kommandos dann auch direkt in dsrm umgeleitet werden, um die toten Rechner direkt zu löschen:
dsquery computer -stalepwd 50 | dsrm -noprompt -c
Funktioniert gut! Danke für den Beitrag.