Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

nicht aktive Computer im AD entfernen

Frage Microsoft Windows Server

Mitglied: adminit

adminit (Level 1) - Jetzt verbinden

30.11.2007, aktualisiert 06.12.2007, 18322 Aufrufe, 10 Kommentare, 1 Danke

Hallo zusammen,

ich habe mal eine Frage..

Wir haben einen WIN 2003 Server und AD im einsatz. Im laufe der Zeit wurde Rechner aussortiert und aus dem Netz genommen. Nun sind diese Rechner allerding immer noch im Active Directory Baum.

Gibt es eine Möglichkeit die alten Clients mit Hilfe eines Tools zu entfernen??

Danke für Eure Hilfe vorab.
Mitglied: datasearch
01.12.2007 um 02:01 Uhr
Wenn man absolut sicher das, das die noch aktiven Computerkonten innerhalb einer Zeitspanne verwendet wurden, die Aussortierten aber nicht (zb. die letzten 30 Tage) kannst man mit
dsquery computer -inactive 30 | dsmove -newparent ou=DELETE,dc=DOMÄNE,dc=TLD
die inaktiven Computerkonten zur durchsicht in die OU DELETE verschieben. Wenn diese wirklich gelöscht werden können, kann das dort immernoch erfolgen. HINWEIS: Einen dsquery mit angefügtem dsrm (was ja theoretisch auch möglich ist) sollte IMMER vermieden werden. Ein Tippfehler und 300 Computer müssen neu angelegt werden (es sei denn, man weiß wie man authorative Wiederherstellungen im AD ausführt). Die Konten können erstmal deaktiviert und nach weiteren 30 Tagen vom Admin gelöscht werden.

PS: Die OU DELETE muss vorher noch angelegt werden.
Bitte warten ..
Mitglied: adminit
01.12.2007 um 11:28 Uhr
HI datasearch..

danke für deine Mühe
So viele Infos auf einmal.. wow

Jetzt muss ich ganz blöd fragen, wo ich den so eine Befehlszeile ausführen kann?? Ich muss dazu sagen, das ich noch nicht so lange mit der 2003 AD Struktur arbeite
dsquery computer -inactive 30 | dsmove
-newparent ou=DELETE,dc=DOMÄNE,dc=TLD


so wie ich Dich verstanden habe,
- wird von mir ein OU "Delete" erstellt,
- der von Dir erstellte Befehl ausgeführt
- anschliessend werden alle Clients im AD die älter als 30 Tage sind in diese OU verschoben

Einen dsquery mit angefügtem dsrm (was
ja theoretisch auch möglich ist) ....
Eine Frage: was ist ein "dsrm"??

Vielen dank schon mal vor ab..
Bitte warten ..
Mitglied: datasearch
01.12.2007 um 12:07 Uhr
Jetzt muss ich ganz blöd fragen, wo ich den so eine Befehlszeile ausführen kann??
Ganz normal in der cmd (Start -> Ausführen -> cmd)
Ich muss dazu sagen, das ich noch nicht so lange mit der 2003 AD Struktur arbeite
Kein Problem. Du machst folgendes:

  1. Erstelle in der Konsole "Active Directory Benutzer und Computer" eine Organisationseinheit (OU) mit dem Namen DELETE (oder jeder andere von dir gewünschte Name)
  2. Öffne die Konsole und gib den Befehl dsquery computer -inactive 30 ein. Der Befehl zeigt eine Liste mit allen Computerkonten die seit 30 Tagen nicht verwendet wurden
  3. Prüfe die Liste ob nicht einer dabei ist der nicht verschoben werden darf.
  4. Führe den Befehl erneut aus und übergib diesmal die Ausgabe an den Befehl dsmove. Mit dem Parameter -newparent sagst du dsmove er soll die Computerkonten in den folgenden Pfad legen. Der Pfad muss in Form des LDAP-DN´s angegeben werden. Die OU DELETE in der Domäne test.org hat den DN ou=DELETE,dc=test,dc=org. dsquery computer -inactive 30 | dsmove -newparent DEINE DN DER OU
  5. Prüfe unter "Active Directory Benutzer und Computer" in der OU DELETE ob du die Konten wirklich löschen kannst. Vorzugsweise sollte man Sie nur deaktivieren.

Eine Frage: was ist ein "dsrm"??
Ein anderer Befehl, diesmal zu löschen von AD-Objekten. Wenn du allerdings etwas per Script löschst, solltest du absolut sicher sein was da passiert. Das hat sonst unangenehme folgen.
Bitte warten ..
Mitglied: adminit
01.12.2007 um 19:14 Uhr
Hey Datasearch..

Vielen vielen dank für deine ausführliche Hilfe ;)

Ich habe dein Befehl eingegeben und erhalte folgenden Fehler:
dsquery computer -inactive 30

dsquery ist fehlgeschlagen:Falscher Parameter.:Diese Abfrage konnte nicht ausgeführt >werden, weil die Domäne, mit der Sie eine Verbindung hergestellt haben, diese Abfrage nicht >unterstützt.
Was ist den bei mir anders als bei Dir?

Allerdings hatte ich es mit diesem Befehl mehr erfolg
dsquery computer -stalepwd 30 -limit 999

Nur leider sind dort auch Rechner drin, die noch aktiv sind??
Bitte warten ..
Mitglied: datasearch
02.12.2007 um 02:21 Uhr
Welche Funktionsebene hat deine Domäne und wie viele Domänencontroller mit welchem Betriebssystem gibt es? Der Befehl dsquery computer -inactive xx benötigt das lastLogonTimestamp-Attribut, welches leider erst in der Funktionsebene 2003Pur zur Verfügung steht.

Der Parameter -stalepwd xx zeigt alle Computerkonten mit einem Kennwort älter als xx Tage. Standartmäßig ändern Computer ihr Kennwort alle 30 Tage, das heißt, wenn du 40 angibst, hast du alle Computer die aus irgendwelchen gründen ihr Kennwort in den letzten 40 Tagen nicht geändert haben. Da dies aber jeder Computer innerhalb dieser Zeitspanne macht (wenn er verbindung zur Domäne hat), sollten nur die entfernten übrigbleiben (übrigens, wenn ein Computer länger als 30 Tage getrennt war, musst du das Konto zurücksetzen und den betreffenden Computer neu in die Domäne aufnehmen). Dein Befehl lautet also: dsquery computer --stalepwd 40 .

Hintergrund: Du kannst den Zeitraum durch das Attribut MaximumPasswordAge steuern. wenn du zb. Computer hast, die länger als 30 Tage getrennt sind, entweder das maximale Alter erhöhen, den Computer vorrübergehend von der Domäne trennen oder damit leben das du den PC bei rückkehr an den Standort neu in die Domäne aufnehmen musst.
Bitte warten ..
Mitglied: adminit
02.12.2007 um 12:18 Uhr
Die Funktionsebene sieht wie folgt aus:

Grundsätzlich habe ich auf allen Servern WIN 2003 Server. Insgesammt habe ich 3 DC. Der erste ist der Primäre der zweite ist der Backup DC und der dritte eine SUB Domäne für eine bestimmte Abteilung..

Demnach müsste eigentlich dein Befehl funktionieren?? oder?

Oder kann ich den Server um "lastLogonTimestamp-Attribut" (???) erweitern.
Bitte warten ..
Mitglied: datasearch
02.12.2007 um 14:14 Uhr
Da du weder NT4 noch Windows2000 Server als DC in deiner Domäne hast, kannst du die Funktionsebene problemlos heraufstufen. Dann sollte das Attribut vorhanden sein. Du hast gleich noch ein paar weitere Vorteile. Gerade was Replikation usw. angeht. Ich würde immer versuchen die höchstmögliche Funktionsebene zu verwenden um maximale Effizienz bei der Replikation zu erreichen.

Genaueres zu den Funktionsebenen findest du hier:
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/de/libra ...


Unabhängig vom DFL sollte aber der andere Befehl trotzdem funktionieren
Bitte warten ..
Mitglied: adminit
06.12.2007 um 14:40 Uhr
Hi danke für die Hilfe,

der andere Befehl funktioniert ;)

Bevor ich nun den Server hochstufe.. frage ich noch mal vorsichtig.
Damit ich den ersten DC hochstufen kann, müssen doch alle DC auf der 2003 Landschaft laufen, die Clients betrifft das jedoch nicht oder?? Habe ich das richtig verstanden?

D.h. demnach betrifft das die Clients nicht auch wenn ich ein WIN98 Client sowie 2000er Rechner habe?

Kann ich das ohne bedenken machen? Nicht das mein Server anschliessend nicht hoch kommt?
Bitte warten ..
Mitglied: datasearch
06.12.2007 um 17:15 Uhr
Damit ich den ersten DC hochstufen kann, müssen doch alle DC auf der 2003 Landschaft laufen, die Clients betrifft das jedoch nicht oder?? Habe ich das richtig verstanden?

Ja, das betrifft alle domänencontroller in der Domäne (wenn du die Domänen-funktionsebene heraufstufen möchtest) und alle Domänencontroller in der Gesamtstruktur (also alle Domänen) wenn du diese heraufstufen möchtest. Die Clients sind dabei egal. Du kannst auch Windows2000 Server in die Domäne hinzufügen, nur eben nicht als Domänencontroller.

Grüße.
Bitte warten ..
Mitglied: tripplesixer
09.08.2011 um 10:00 Uhr
Super, der String funktioniert auch unter 2008 R2 einwandfrei.

Danke für die Hilfe!
Bitte warten ..
Ähnliche Inhalte
Windows Tools
Nicht mehr vorhandene Computer aus der AD entfernen
gelöst Frage von M.MarzWindows Tools6 Kommentare

Hallo zusammen, angenommen ich füge einen Rechner namens PC01 in die Domäne hinzu. Dieser wird danach in der AD ...

Windows Netzwerk
Aktive Computer Gruppenrichtlinie auslesen
gelöst Frage von Markus1977Windows Netzwerk1 Kommentar

Mit dem Befehle gpresult /r kann man die Gruppenrichtlinien anzeigen lassen, jedoch betrifft das nur für die Benutzer Gruppenrichtlinien. ...

Windows Server
Computer und User im AD verschieben
Frage von TrubadixWindows Server4 Kommentare

Hallo, Ich arbeite mich gerade in die Gruppenrichtlinien ein. Hierbei halte ich mich an die Anleitungen von . Bei ...

Windows Server
Primary Computer in der AD wird nicht angegnommen
Frage von weku85Windows Server8 Kommentare

Hallo Zusammen, nachdem ich sehr lange nun schon rumprobiere und es nicht gebacken bekommen hier mein Anliegen. Unsere Administratoren ...

Neue Wissensbeiträge
Internet

Was nützt HTTPS, wenn es auch von Phishing Web-Seiten genutzt wird

Information von Penny.Cilin vor 2 TagenInternet17 Kommentare

HTTPS richtig einschätzen Ob man eine Webseite via HTTPS aufruft, zeigt ein Schloss neben der Adresse im Webbrowser an. ...

Webbrowser

Bugfix für Firefox Quantum released - Installation erfolgt teilweise nicht automatisch!

Erfahrungsbericht von Volchy vor 3 TagenWebbrowser8 Kommentare

Hallo zusammen, gem. dem Artike von heise online wurde mit VersionFirefox 57.0.1 sicherheitsrelevante Bugs behoben. Entgegen der aktuellen Veröffentlichung ...

Sicherheit

Teamviewer Sessions können gekapert werden - Update tw. verfügbar

Information von sabines vor 3 TagenSicherheit6 Kommentare

In bestimmten Konstellationen können Teamviewer Sessions gekapert werden, wahrscheinlich aber ein recht unwahrscheinliches Szenario. Da der Teamviewer gerne für ...

Digitiales Fernsehen

Apple TV: Amazon Prime App ist verfügbar

Information von Frank vor 4 TagenDigitiales Fernsehen4 Kommentare

Die Amazon Prime Video App kann ab sofort auf einem Apple TV ab der 3 Generation installiert werden. Einfach ...

Heiß diskutierte Inhalte
Vmware
Installation Windows 10 VMware
Frage von Ghost108Vmware17 Kommentare

Hallo zusammen, versuche gerade mit Hilfe des vshpere clients eine virtuelle Windows 10 maschine aufzusetzen. 1. virtuelle Maschine erstellt ...

Exchange Server
SBS 2011 E-Mails können gesendet werden, aber nicht von extern empfangen
Frage von andreas1234Exchange Server14 Kommentare

Hallo Community, ich habe das Problem, dass seit knapp zwei Wochen die E-Mails von meinem SBS 2011 einwandfrei gesendet ...

Voice over IP
Telefonstörung - Ortsrufnummern kein Verbindungsaufbau
Frage von Windows10GegnerVoice over IP10 Kommentare

Hallo, sowohl bei uns als auch beim Opa ist es über VoIP nicht möglich Ortsrufnummern anzurufen. Es kommt nach ...

Windows Server
Server 2012 über Eingabeaufforderung devmgmt.msc geht nicht
gelöst Frage von achim222Windows Server9 Kommentare

Hallo, ich habe hier einen Server 2012 der im Reparaturmodus startet. Es liegt an einem falschen VirtIO Treiber für ...