- PR -

AcriveDirectoryの管理について

1
投稿者投稿内容
HAL.T
会議室デビュー日: 2007/06/28
投稿数: 3
投稿日時: 2007-06-28 20:53
サーバ管理(というほどのことはしていない)初心者です。
2003Serverで、ADを使用しているのですが、一度登録され、その後使われなくなったコンピュータを自動的に削除する簡便な方法が無いでしょうか?
例えば、月に一度もADにログインしていないコンピュータやユーザーを一括削除する方法があれば嬉しいのですが。
現在は、一つ一つ手で削除しています。
yawata133
ベテラン
会議室デビュー日: 2007/04/06
投稿数: 76
投稿日時: 2007-06-28 21:13
今のところは確かないんじゃないかなあ。ADSIとかでプログラム書かないとできないと思いますが・・・・その辺のところ僕も知りたいです。使われてないコンピュータのDNSレコードも消す方法があれば知りたいところです。
kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2007-06-28 21:34
こんばんわ.
引用:

HAL.Tさんの書き込み (2007-06-28 20:53) より:

2003Serverで、ADを使用しているのですが、一度登録され、その後使われなくなったコンピュータを自動的に削除する簡便な方法が無いでしょうか?
例えば、月に一度もADにログインしていないコンピュータやユーザーを一括削除する方法があれば嬉しいのですが。

それが,今後も永遠にその Active Directory で使われないという保証はありますか?
月に一度も Active Directory に login しなかったとして,
その次の月に利用する場合は削除してしまっているわけですが,
そこは支障ないのでしょうか?
引用:

yawata133さんの書き込み (2007-06-28 21:13) より:

使われてないコンピュータのDNSレコードも消す方法があれば知りたいところです。

それは MS DNS の動的更新の機能で実現できるのでは?
HAL.T
会議室デビュー日: 2007/06/28
投稿数: 3
投稿日時: 2007-06-28 22:50
>それが,今後も永遠にその Active Directory で使われないという保証はありますか?
お返事ありがとうございます。
対象は毎日必ずログインしなくてはいけないサーバーです。
1ヶ月というのは例えで書きましたが、そのくらいアクセスが無いのは永遠に無いに等しいです。
まあ、運用上は自動的に定期実行でない方が良いかもしれませんね。
「来週、1ヶ月ログインしていないのを削除する」と利用者に一斉メールし、そのご手動で一括削除という方法の方が、安全だとは思います。
とにかく「設定した時間(1月でも1年でも)使ってないコンピュータやユーザ名は一括削除」という機能があれば、また簡単なプログラムを書くことで実現できる方法があれば知りたいのです。
よろしくお願いします。
yawata133
ベテラン
会議室デビュー日: 2007/04/06
投稿数: 76
投稿日時: 2007-06-29 15:48
HAL.Tさん 確かにDNSに関しては自動清掃という処理がありますね。これを有効にしてみたいと思います。
チャブーン
大ベテラン
会議室デビュー日: 2006/11/25
投稿数: 149
投稿日時: 2007-06-30 22:42
チャブーンです。

「使われなくなったユーザ一覧を取りたい」といったことなら、やはり同じことを考えている人はいるようで、MS のサイトにもそんな質問の答えがありますね。

http://www.microsoft.com/japan/technet/scriptcenter/topics/win2003/lastlogon.mspx

上記の lastlogon 属性はユーザアカウントにもコンピュータオブジェクトにも存在はしますね。ただ、内容をよく読んで、理解してもらう必要がありますけどね。

うえの方法でオブジェクトを検出して、指定されたアカウントを一括削除するスクリプトを組むようにすればいいのではないでしょうか。

ですが、他の方もおっしゃってますが、アカウントをいったん削除してしまうと、戻すのがものすごくたいへん (Windows 2000 では戻せません) なので、アカウントを削除するのではなくて、無効にして別の OU に移動するとかしておけば何かあったときにすぐにもどすことができますし、消したいときにも一気に消せますね。
HAL.T
会議室デビュー日: 2007/06/28
投稿数: 3
投稿日時: 2007-07-01 01:48
チャプーンさん
ありがとうございます。非常に為になりました。解決の糸口が見えた気がします。
(まだ「気がするだけ」というのが情けないですが)
で、今気がついたのですが、タイトルが「AcriveDirectoryの管理」になっている。
Acriveってなんだよ、Activeですよ。あああああ、恥ずかしい。
チャブーン
大ベテラン
会議室デビュー日: 2006/11/25
投稿数: 149
投稿日時: 2007-07-01 13:12
チャブーンです。

うえの MS サイトでは LastLogonTimeStamp 属性についてのスクリプト例しかないですか。ちょっと見落としてました。

で、しらべたら LastLogon 属性のスクリプトもちゃんとありますね。例によって rlmueller.net と redmondmag.com ですけど。

http://www.rlmueller.net/Last%20Logon.htm
http://redmondmag.com/columns/article.asp?EditorialsID=660
1

スキルアップ/キャリアアップ(JOB@IT)