在活動目錄中清掃“垃圾”

■ 河南 劉京義

編者按：對于活動目錄來說，當其運行了較長的時間后，往往會產(chǎn)生一些無用的信息。這些垃圾信息會帶來一些負面影響，所以發(fā)現(xiàn)和清除垃圾信息，是很有必要的。

刪除陳舊的用戶和計算機賬戶，是清理活動目錄的關(guān)鍵所在。利用LastLogon和LastLogonTimeStamp屬 性，可以判斷目標賬戶是否處于活躍狀態(tài)。

以管理員身份登錄域控，打開Active Directory活動目錄和計算機窗口，點擊工具欄上的“查看”-“高級”項，使之處于選擇狀態(tài)。

選擇目標用戶，在其屬性窗口中打開“屬性編輯器”面板，在列表中的“l(fā)astLogon”欄中顯示上次登錄時間。對于多臺域控來說，可以在CMD窗口中執(zhí)行“echo%LogonServe r%” 命 令，顯示其在哪臺域控上登錄的。在不同的域控上查看，可以看到目標賬戶的“LastLogon”屬性信息沒有復(fù)制，但是對于“LastLogonTimeStamp”屬性值來說，是可以相互復(fù)制的。使用AD Tidy這款工具，可以發(fā)現(xiàn)和清除AD中陳舊的賬戶信息，但在使用時出于安全考慮，需開啟活動目錄的回收站功能，之后將找到的陳舊賬戶先存放到制動的OU中，并將其禁用一段時間（例如半個月等），當確認沒有問題后再將其刪除。

如果發(fā)現(xiàn)刪除了正常的用戶，可以及時將其恢復(fù)，這樣不會造成不利的影響。

在AD Tidy主界面中的“Report”面板工具欄列表中選擇域名，點擊“Users”按鈕，針對用戶信息進行掃描，點擊“Start”按鈕開始掃描域中的所有用戶信息，在“Manual”欄中顯示搜索到的所有用戶，在對應(yīng)用戶的“Last Logon Date”列中顯示其上一次登錄時間，在“Last Logon DC”列中顯示上一次登錄的域控名稱。

根據(jù)這些信息，找到并選中陳舊的用戶，在“Actions”面板中點擊“Delete”按鈕將其刪除。

不過為了穩(wěn)妥起見，最好點擊“Move”按鈕，在域控上執(zhí)行“dsa.msc”程序，打開Active Directory用戶和計算機窗口，在其中創(chuàng)建名為“Denyusr”的 OU，用來存儲這些不活躍的用戶。之后點擊刪除工具欄中“Move”按鈕，在打開窗口中點擊“Select Container”按鈕，選擇上述OU，將這些用戶移動進來。

在“Report”面板中選擇“Computers”項，點 擊“Start”按鈕，對目標域中的所有計算機賬戶進行掃描，之后按照同樣的方法將其移動到指定的OU中。

在啟用AD回收站時，必須保證林和域功能級別都是Windows 20058 R2。這里以Windows Server 2008 R2為例進行說明，在PowerShell窗口中執(zhí)行“Import-Module ActiveDirectory”命令，導(dǎo)入AD模塊。

執(zhí)行“Get-ADForest”命令，查看當前林功能級別。

執(zhí)行“Get-ADDomain”命令，查看域的功能級別。

如果當前林功能級別不符合要求，可以執(zhí)行“Set-ADForestMode -Identity xxx.com -ForestMode Windows2008R2Forest”命令進行提升，其中的“xxx.com”為具體的域名。

執(zhí) 行“Get-ADDomain |Select Name”命令，可以顯示當前的域名。

執(zhí) 行“Get-ADOptionalFeature -Filter*”命令，會顯示AD回收站是否啟用。

執(zhí) 行“Enable-ADOptional Feature'Recycle Bin Feature' -S c o p e ForestOrConfigurationSet-Target 'xxx.com'”命令，可以啟動AD回收站。

注意：一旦開啟該功能將無法撤銷。

當開啟了AD回收站之后，就可以在上述OU中刪除陳舊的賬戶了。

當 然，對 于Windows Server 2008 R2來說，當用戶被刪除后，默認會在AD數(shù)據(jù)庫中保存180天。如果發(fā)現(xiàn)誤刪了用戶，可以對其進行恢復(fù)。

注意：在恢復(fù)之后必須保證其SID與之前是一致的。

執(zhí) 行“Get-ADUser –Identity newuser”命令，在返回信息中可查看指定用戶SID信息。在恢復(fù)時，可執(zhí)行ADRecycleBin工具，在其主界面中點擊“Load Deleted Objects”按鈕，會顯示已刪除對象。選擇需恢復(fù)的對象，點 擊“Restore Checked Objects”按鈕即可。