Limpieza equipos Active Directory

En este articulo vamos a ver como limpiar nuestro Active Directory de equipos que en su debido momento no hemos eliminado, ya sea por muerte del equipo, cambio de equipo o la razón que sea.

Active Directory por desgracia no tiene una herramienta especifica o una sección donde podamos ver correctamente equipos con un tiempo de inactividad en concreto para facilitarnos la tarea.

En este caso usaremos el valor pwdLastSet del objeto computer. Este valor nos indica la última vez que el equipo se comunicó con Active Directory.

Para realizar la detección de los equipos obsoletos es posible hacerlo mediante una consulta en Active Directory como la siguiente:

(&(&(objectcategory=computer)(pwdLastSet<=128785742091190000)))

Lo malo es que el valor pwdLastSet debe estar en Octal y para conseguirlo debemos realizar una tarea antes.

Disponemos de una aplicación de terceros llamada oldcmp. la cual es capaz de según una fecha dada obtener la consulta necesaria del directorio activo para obtener el listado de equipos obsoletos.

Desde una línea de comandos ejecutamos: oldcmp /report /age X <donde X es el número de días que queremos usar por ejemplo 180>

Con esto obtenemos un fichero .htm que debemos abrir directamente

Debemos copiar la línea Search Filter : (&(objectcategory=computer)(pwdLastSet<=129844879652470000))

Una vez copiado en nuestro DC vamos a inicio —> Ejecutar —> DSA.msc

Creamos una nueva consulta como podemos ver en la imagen.

Elegimos consulta personalizada para poder introducir nuestra cadena.

Damos nombre a nuestra consulta como vemos arriba y le damos a OK.

Con esto ya tenemos listados los equipos que no han logado contra el directorio activo en el tiempo que indicamos anteriormente, desde aquí podríamos crear una OU con equipos deshabilitados por ejemplo y mover todos los equipos en masa ha esta OU para posteriormente eliminarlos o como quisiésemos proceder con ellos.