如何查找并删除AD域中多余的计算机账号？

如何将过时的计算机从computers容器中自动清除？由于有不少时候没有按正常的方法退域，致使在AD的computers容器中存在不少过期的计算机，有没有办法让它自动清除呢

对咱们广大网络管理员来讲，用户账号和计算机账号的管理是咱们最长见也是最难管理一项工做。咱们知道频繁的系统重装和加入域的过程会致使产生大量无效计算机账号，如何清理这些无效计算机账号就成为了一个难题。

Q：
如何查找并删除域中多余的计算机账号？

A：
若是咱们的域是Windows 2003域，咱们能够经过dsquery命令的inactive参数排查出一段时间没有活动的计算机。

附件中包含两个cmd的文件，内容分别以下：

DisableComputer.CMD
dsquery computer -inactive 10 -stalepwd 70 |dsmod computer -disabled yes

查处10周未登录的机器以及70天未能更改域计算机密码的机器（数值可自行指定），而后把它们设成disabled。

备注：-inactive指得是机器未logon的时间，-stalepwd是机器密码未改的时间，windows 2000以上的机器默认为30天，咱们能够二者结合来看看哪些是非active的机器。若是要用-inactive参数，须要2003纯模式。若是单单使用-stalepwd，能够在混合模式下运行。

dsquery对于不活动时间越长的计算机越正确。形成这一现象的缘由是Active Directory是根据计算机是否验证身份来判断其是否活动的。一台1个月没有开机的计算机固然是不活动的，可是一台开机可是一个月无人操做的计算机也会被判断为不活动的，而第二种状况在服务器上是比较常见的（好比文件共享服务器）。因此咱们不能根据dsquery结果马上删除计算机账号，还须要作一些验证工做（好比查询这一计算机名的IP）。

DeleteComputer.CMD
dsquery computer -disabled | dsrm –noprompt

查出禁用机器而后删掉。
备注：建议在使用DisableComputer.CMD两周以后，没有用户报错的状况下再使用DeleteComputer.CMD来删除域中多余的计算机账号。