Проблема стандартная – с течением времени накапливается достаточно много записей компьютеров в AD, которым физически не сопоставлено ни одного компьютера. Самый простой вариант – найти компьютеры, которые в домен не заходили определённое количество времени (например последние 4 месяца), перенести их в отдельную организационную единицу и отключить. Если случайно туда попадут активные учётные записи компьютеров – то это станет достаточно быстро ясно. Можно сделать операцию переноса следующей командой:
for /F "delims=" %%a in ('dsquery computer "dc=domain,dc=com" -inactive 16
-limit 0') do dsmove %%a -newparent "ou=disabled computers,dc=domain,dc=com"
Запускать её нужно с расширенными привилегиями, иначе будет ошибка о запрете доступа. Дальше можно эти компьютеры вручную отключить прямо в этой организационной единице.
Подсмотрено здесь.
Полезно!
Я вот всегда пользовался програмулькой от Specops называется Active Directory Janitor
Она же платная! =)))))
…ну как и многое другое 😉