Windows

什麼將 AD 對象定義為“非活動”

  • March 24, 2010

我將使用一些 DSQUERY/DSMOVE 腳本來清理我的 AD Domin。一種選擇是將非活動對象移動到應用了限制性 GPO 的 OU。

就像是:

DSQUERY computer -inactive 10 | DSMOVE -newparent <distinguished name of target OU>

我的問題是什麼值將使用者和電腦的對象定義為“非活動”一段時間?這是電腦帳戶最後一次登錄電腦嗎?對於使用者來說,這是使用者帳戶最後一次登錄電腦嗎?

但是,例如,如果我有一個網路伺服器幾個月沒有重新啟動和/或登錄,但仍保持開機並正常執行,它會被定義為“非活動”嗎?從技術上講,它仍在服務網頁等等?

謝謝您的幫助!

好吧,如果你執行dsquery user /?它會告訴你這個

-inactive 查找至少數週不活動(未登錄)的使用者。

對於電腦,它只是說“陳舊”,因此我們可以假設它是同一件事 - 自域看到該電腦帳戶獲得身份驗證以來的時間量。

對於您的假設,我敢肯定,一台開機且連接良好的電腦不會顯得陳舊。諸如 GPO 刷新和 Kerberos 超時之類的事情會導致後台活動,我確信這些會刷新任何存在的“陳舊”計數器。

引用自:https://serverfault.com/questions/117186