■ 河南 劉京義

編者按：對(duì)于活動(dòng)目錄來(lái)說(shuō)，當(dāng)其運(yùn)行了較長(zhǎng)的時(shí)間后，往往會(huì)產(chǎn)生一些無(wú)用的信息。這些垃圾信息會(huì)帶來(lái)一些負(fù)面影響，所以發(fā)現(xiàn)和清除垃圾信息，是很有必要的。

刪除陳舊的用戶和計(jì)算機(jī)賬戶，是清理活動(dòng)目錄的關(guān)鍵所在。利用LastLogon和LastLogonTimeStamp屬 性，可以判斷目標(biāo)賬戶是否處于活躍狀態(tài)。

以管理員身份登錄域控，打開Active Directory活動(dòng)目錄和計(jì)算機(jī)窗口，點(diǎn)擊工具欄上的“查看”-“高級(jí)”項(xiàng)，使之處于選擇狀態(tài)。

選擇目標(biāo)用戶，在其屬性窗口中打開“屬性編輯器”面板，在列表中的“l(fā)astLogon”欄中顯示上次登錄時(shí)間。對(duì)于多臺(tái)域控來(lái)說(shuō)，可以在CMD窗口中執(zhí)行“echo%LogonServe r%” 命 令，顯示其在哪臺(tái)域控上登錄的。在不同的域控上查看，可以看到目標(biāo)賬戶的“LastLogon”屬性信息沒有復(fù)制，但是對(duì)于“LastLogonTimeStamp”屬性值來(lái)說(shuō)，是可以相互復(fù)制的。使用AD Tidy這款工具，可以發(fā)現(xiàn)和清除AD中陳舊的賬戶信息，但在使用時(shí)出于安全考慮，需開啟活動(dòng)目錄的回收站功能，之后將找到的陳舊賬戶先存放到制動(dòng)的OU中，并將其禁用一段時(shí)間（例如半個(gè)月等），當(dāng)確認(rèn)沒有問(wèn)題后再將其刪除。

如果發(fā)現(xiàn)刪除了正常的用戶，可以及時(shí)將其恢復(fù)，這樣不會(huì)造成不利的影響。

在AD Tidy主界面中的“Report”面板工具欄列表中選擇域名，點(diǎn)擊“Users”按鈕，針對(duì)用戶信息進(jìn)行掃描，點(diǎn)擊“Start”按鈕開始掃描域中的所有用戶信息，在“Manual”欄中顯示搜索到的所有用戶，在對(duì)應(yīng)用戶的“Last Logon Date”列中顯示其上一次登錄時(shí)間，在“Last Logon DC”列中顯示上一次登錄的域控名稱。

根據(jù)這些信息，找到并選中陳舊的用戶，在“Actions”面板中點(diǎn)擊“Delete”按鈕將其刪除。

不過(guò)為了穩(wěn)妥起見，最好點(diǎn)擊“Move”按鈕，在域控上執(zhí)行“dsa.msc”程序，打開Active Directory用戶和計(jì)算機(jī)窗口，在其中創(chuàng)建名為“Denyusr”的 OU，用來(lái)存儲(chǔ)這些不活躍的用戶。之后點(diǎn)擊刪除工具欄中“Move”按鈕，在打開窗口中點(diǎn)擊“Select Container”按鈕，選擇上述OU，將這些用戶移動(dòng)進(jìn)來(lái)。

在“Report”面板中選擇“Computers”項(xiàng)，點(diǎn) 擊“Start”按鈕，對(duì)目標(biāo)域中的所有計(jì)算機(jī)賬戶進(jìn)行掃描，之后按照同樣的方法將其移動(dòng)到指定的OU中。

在啟用AD回收站時(shí)，必須保證林和域功能級(jí)別都是Windows 20058 R2。這里以Windows Server 2008 R2為例進(jìn)行說(shuō)明，在PowerShell窗口中執(zhí)行“Import-Module ActiveDirectory”命令，導(dǎo)入AD模塊。

執(zhí)行“Get-ADForest”命令，查看當(dāng)前林功能級(jí)別。

執(zhí)行“Get-ADDomain”命令，查看域的功能級(jí)別。

如果當(dāng)前林功能級(jí)別不符合要求，可以執(zhí)行“Set-ADForestMode -Identity xxx.com -ForestMode Windows2008R2Forest”命令進(jìn)行提升，其中的“xxx.com”為具體的域名。

執(zhí) 行“Get-ADDomain |Select Name”命令，可以顯示當(dāng)前的域名。

執(zhí) 行“Get-ADOptionalFeature -Filter*”命令，會(huì)顯示AD回收站是否啟用。

執(zhí) 行“Enable-ADOptional Feature'Recycle Bin Feature' -S c o p e ForestOrConfigurationSet-Target 'xxx.com'”命令，可以啟動(dòng)AD回收站。

注意：一旦開啟該功能將無(wú)法撤銷。

當(dāng)開啟了AD回收站之后，就可以在上述OU中刪除陳舊的賬戶了。

當(dāng) 然，對(duì) 于Windows Server 2008 R2來(lái)說(shuō)，當(dāng)用戶被刪除后，默認(rèn)會(huì)在AD數(shù)據(jù)庫(kù)中保存180天。如果發(fā)現(xiàn)誤刪了用戶，可以對(duì)其進(jìn)行恢復(fù)。

注意：在恢復(fù)之后必須保證其SID與之前是一致的。

執(zhí) 行“Get-ADUser –Identity newuser”命令，在返回信息中可查看指定用戶SID信息。在恢復(fù)時(shí)，可執(zhí)行ADRecycleBin工具，在其主界面中點(diǎn)擊“Load Deleted Objects”按鈕，會(huì)顯示已刪除對(duì)象。選擇需恢復(fù)的對(duì)象，點(diǎn) 擊“Restore Checked Objects”按鈕即可。