【东方瑞通】清理AD计算机账户

easthomeRT

用户账户密码和计算机账户密码并不是一样的。用户账户密码主要用来登陆到系统和网络并拥有访问资源的权利和权限，而计算机账户密码主要用在AD域中安全通道的身份验证。
计算机账户和用户账户一样具有自己的密码，计算机密码则将这个自己的密码加密后记录在注册表里。我们可以使用PowerShell命令来查看计算机账户的属性，



在上面的截图中我们会发现PasswordLastSet、LastLogonDate等属性值；
根据微软官方说法和实际经验，计算机账户的密码如果过期90天，那么我们就可以认为该计算机账户和域的信任关系丢失，可以对这些账户进行清理；但有一种特殊情况，计算机90天未开机。在实际中，如果计算机90天未开机，那么这台计算机也可以认为是没有用的。因此我们可以通过PowerShell脚本将计算机账户密码过期90天的计算机禁用并移动到一个特定的OU，运行一段时间后，在将这些账户删除掉。
根据实际经验，我们清理计算机账户的原则：
AD中可能会存在退域的计算机，账号处于禁用状态，我们可以将这些计算机移动到特定的OU中，也可以直接删除掉。
将计算机账户密码过期90天的计算机，禁用并移动到一个特定的OU；实际执行后的截图如下：

根据LastLogonDate属性，将计算机账户多长时间（如30天）未登陆的计算机，禁用并移动到一个特定的OU中；根据企业的特点，如果员工长期出差，可能会被意外清理，所以需要认为管控，在收到用户的反馈后，将用户的计算机账户启用并移动到正常的OU；
根据经验我们建议间隔一段时间（比如每一个月执行1次，执行3个月）去执行一次这样的清理的工作，因为计算机账户密码过期90天，但是如果计算机已经无效，但是账户密码过期可能为达到90天。
完成清理之后我们可以导出所有的计算机账户，包含创建时间、最后登陆时间、上次密码修改等等属性为Excel文件，进行分类查询等操作；