שלום חברים,

מספר שאלות:

1.שמתי לב לתופעה, בארגון שלנו כאשר אנחנו מוציאים מחשב מהדומיין אז הוא לא נמחק גם ב AD .

משמע שלמרות שאנחנו מחכים פרק זמן כלשהו עדיין יש בסוף צורך להוציא למחוק ידנית את המחשב מ AD. זה תקני?

2. מה הדרך הנכונה להוציא מחשב מהדומיין? מעבר לכך שאני מוציא את אותו מחשב מהדומיין ומעביר אותו נגיד לWORKGROUP יש עוד משהו

שצריך לעשות?

תודה מראש

על-פי מיקרוסופט, הוצאה של מחשב מהדומיין משאירה את האובייקט בDB, והופכת אותו לDisabled.

"If you disjoin a computer from a domain, the computer remains as a disabled account in Active Directory."

http://technet.microsoft.com/en-us/library/cc754624.aspx

נכון

או שתפעיל איזהשהו תהליך שמבצע "garbage collection"

או שתדאג באופן ייזום כאשר את "גורע" מחשב לבצע מחיקה של האובייקט שלו - אחרת יסתובבו לך "זומבים"

בPowershell, ככה אתה מוצא את הComputer Accounts הנעולים:

Search-ADAccount -AccountDisabled -ComputersOnly | Format-List name

Import-Module activedirectory

וככה אתה מוחק אותם:

Search-ADAccount -AccountDisabled -ComputersOnly | Get-ADComputer | Remove-ADComputer

Import-Module activedirectory

כמובן שכדאי לבדוק מה אתה מוחק לפני, לדוגמא - מחשבים שלא עשו בהם Login יותר מ100 יום:

Search-ADAccount -ComputersOnly -AccountDisabled | where {$_.lastlogondate -LT (get-date) - (New-TimeSpan -Days 100)}