Как правильно автоматизировать удаление объектов в AD?

Question

[v00deg]

Добрый день!

Пытаюсь автоматизировать чистку AD от компьютеров уволенных сотрудников, вот пример скрипта:

$DisableUsers = Get-ADUser -Filter 'Enabled -eq "False"' -SearchBase 'OU=2,OU=1,DC=company,DC=name'

foreach ($User in $DisableUsers){$Name = $User.samaccountname}

Get-ADComputer -Identity "$Name"  | Remove-ADComputer -ErrorAction SilentlyContinue -confirm:$false

В итоге получаю следующее:

Get-ADComputer : Cannot find an object with identity: 'computername' under: 'DC=company,DC=name'.
At line:1 char:1
+ Get-ADComputer -Identity "$Name"  | Remove-ADComputer -ErrorAction SilentlyConti ...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : ObjectNotFound: (computername:ADComputer) [Get-ADComputer], ADIdentityNotFoundException
    + FullyQualifiedErrorId : ActiveDirectoryCmdlet:Microsoft.ActiveDirectory.Management.ADIdentityNotFoundException,Microsoft.ActiveDirectory.Management.Commands.GetAD 
   Computer

Хотя такой объект есть в наличии, что я делаю не так?

Answer 1

[Евгений Хлебников]

У вас компьютер пользователя называется полностью аналогично имени пользователя?
Странное решение.
Вообще, в AD компьютеры и пользователи это два разных, независимых друг от друга объекта.
На компьютер уволенного пользователя можно посадить нового пользователя, а пересоздавать для каждого нового сотрудника компьютер с нуля, включая его ввод в домен это... странно.
Правильнее отключать неактивные записи компьтеров, не входившие в домен в течение долгого времени.
Но вообще вам в помощь :
community.spiceworks.com/scripts/show/1861-find-an...

Comments

[v00deg]

Есть несколько причин почему так, а не как задумано производителем, никакой разницы в моем случае между Remove-ADComputer и Set-ADComputer нет, объект не обнаружен до применения этой команды.
Спасибо за линк!

[Евгений Хлебников]

v00deg: А вообще,в оригинальном скрипте попробуйте использовать не identity а опять поиск через фильтр. Get-ADComputer -Filter {name -eq $name}

[Евгений Хлебников]

Ну то есть сначала прежде чем запускать удаление, пусть он вам покажет список )

Answer 2

[Николай]

сделайте вывод значений $Name. Вполне может оказаться так, что там будет не совсем то, что вы ожидали. Плюс я не совсем понимаю, зачем надо было ставить $Name в кавычки при вызове Get-Adcomputer.

Comments

[v00deg]

Да, здесь нашлась ошибка, выводит только одно имя компьютера, но даже по этому имени объект не находит, а он есть. С кавычками привычка, пример: Get-Mailbox -Identity "User Name".

[Николай]

v00deg: леса случайно нет? В условиях, когда exchange в одном домене, а юзеры - в другом домене леса, надо юзать Set-AdServerSettings -ViewEntireForest $true

Второй вариант - вы всё же попутали что-то с именами mailbox-ов. Я очень рекомендую в качестве примера руками вызывать get-mailbox -Identity Вася@вашдомен | fl

фишка в том, что по почтовому ящику он 100% выдаст вам ящик и все его параметры. а дальше уже смотрите, точно ли в SamAccountName то, что вы ожидаете. кстати, по идее там должно быть совпадение, но в списке уникальных парметров для Identity я samaccountname не вижу:

The Identity parameter specifies the mailbox that you want to view. You can use any value that uniquely identifies the mailbox.
For example:
Alias
Distinguished name (DN)
GUID
Name
Display name
LegacyExchangeDN
Email address

[v00deg]

Николай: Мы уже начали уходить от темы :) Пример с почтовым ящиком я добавил, что бы показать, почему я добавляю кавычки. Спасибо за рекомендацию.

Лес есть, все происходит в рамках одного домена. Есть OU из которой скрипт дергает отключенных юзеров в переменную, далее в цикле ищет samaccountname юзеров, и потом подставляет для идентификации компьютера, выводы всех переменных я проверил и они корректны, при идентификации возвращается ошибка, что объект не найден. Но если тоже самое набрать руками, все проходит успешно.

Answer 3

[Денис Колмыков]

У вас имя компьютера в AD соответствует SamAccountname этого же компьютера? Т.е. возможна такая ситуация, когда компьютер в AD называется например: "Компьютер Васи", а сам имеет имя "wks0001@domain.local". Так вот в таком случае параметр name компьютера будет "Компьютер Васи", а SamAccountname "wks0001$" (с значком $ на конце) и тогда команда Get-ADComputer -Identity "wks0001" не отработает.

Comments

[v00deg]

Не совсем так, samaccountname юзера = name компьютера.