Diego Cabai KEEP I.T. SIMPLE, KEEP I.T. CLEAN

Identificando Cuentas de Equipos Inactivas en AD

Ultimamente me consultaron cómo identificar las cuentas de equipos inactivas en un dominio Active Directory. Muchas veces el personal de soporte agrega o quita equipos del dominio pero no depura las cuentas viejas o no las borra una vez que la máquina tuvo un problema o se dió de baja, etc. Esto lleva a que existan muchos objetos de computadora que ya no se utilizan y su único propósito es ensuciar el AD. La unica forma de identificar estas cuentas es por su inactividad y luego depurarlas eliminándolas. En este caso son unas 8 mil cuentas inactivas de computadoras así que es una gran depuración.

Para esta tarea nos podemos ayudar con un par de comandos o como deben conocer también hay algunas herramientas gráficas que pueden servir. El primero de los comandos es de gran sitio joeware.net con excelentes herramientas desarrolladas por MVPs. En este sitio existe una gran cantidad de comandos y herramientas muy útiles para el día a día, entre ellas se encuentra OldCmp.

OldCmp: Sirve únicamente para buscar y limpiar el AD de cuentas de computadoras viejas. Muy útil, funciona perfectamente con AD, se puede hacer un reporte, se debe deshabilitar primero y luego eliminar. Por default saca un reporte de máquinas de mas de 90 días de inactividad. (La mas recomendada de las soluciones)  Bajar esta herramienta

Luego nos podemos topar con el sitio de Richard Mueller, otro MVP con excelentes herramientas y utilidades en Hilltop Lab. En este caso nos encontramos con un VBS que básicamente hace la misma tarea que el comando anterior, pero un poco mas limitada.

MoveOldComputers.vbs: Busca en el AD a través de consultas LDAP por el atributo del cambio de password de la cuenta de máquina y se procesa el resultado.  Bajar esta herramienta

Como útlima opción podemos usar una herramienta gráfica para que nos asista, que en realidad es un scripting con salida gráfica, no mas que eso. No es una utilidad muy robusta pero Inactive Computers for Active Directory de Absolute Dynamics nos puede ayudar. Nos muestra una ventana gráfica con el resultado de la búsqueda que hagamos, con la cantidad de días de inactividad, el sistema operativo reportado, el objecto LDAP y una serie de botones desde donde podemos deshabilitar la cuenta, borrarla, moverla, etc. Si bien para algunos les resultará mucho mas fácil esta solución, sigo recomendando los comandos anteriores por el origen de los mismos y no una aplicación cerrada.

Espero que si estabas buscando eliimnar cuentas de PC inactivas en Active Directory, con estas herramientas puedas solucionar tu problema.

Artículos relacionados: