{"id":1470,"date":"2011-12-01T11:32:24","date_gmt":"2011-12-01T14:32:24","guid":{"rendered":"http:\/\/www.radians.com.ar\/blog\/?p=1470"},"modified":"2011-12-01T11:32:24","modified_gmt":"2011-12-01T14:32:24","slug":"como-podemos-detectar-y-quitar-las-cuentas-de-equipos-inactivos-de-nuestro-active-directory-howto","status":"publish","type":"post","link":"https:\/\/www.radians.com.ar\/blog\/?p=1470","title":{"rendered":"Como podemos detectar y quitar las cuentas de equipos inactivos de nuestro Active Directory {HowTo}"},"content":{"rendered":"

\"Broom_icon_svg\"<\/a>Hoy vamos a ver como podemos detectar y quitar las cuentas de equipos inactivos, aquellos que por alguna raz\u00f3n quedaron obsoletos en nuestro Active Directory.<\/font><\/p>\n

Tengo que hacer una salvedad en cuanto al procedimiento que hoy vamos a ver, hace unas semanas escrib\u00ed una nota en donde explicaba <\/font>Como deshabilitar los cambios de contrase\u00f1a de cuenta de maquina autom\u00e1tica {HowTo}<\/font><\/a>; si aplicamos dicha nota este procedimiento no sirve y vamos a tener que utilizar otro script para ver que equipo esta obsoleto y cual no.<\/font><\/p>\n

Esto se debe a que como parte de seguridad de Windows NT, las contrase\u00f1as de cuenta de equipo se cambian cada siete d\u00edas. El proceso que veremos hoy, justamente se basa en en la edad de la contrase\u00f1a de cuenta de equipo para determinar su validez. Entonces, si existe la posibilidad que un administrador haya deshabilitado los cambios de contrase\u00f1a de cuentas de equipo autom\u00e1tico, entonces no tiene sentido todo este proceso.<\/font><\/p>\n

Aclarado esto, les paso los scripts que utilizaremos:<\/font><\/p>\n

Oldms.bat<\/h2>\n

@echo off
if "%1"=="" goto nodomain
set dom=%1
set deloldms=
netdom \/d:%1 bdc | find "Found PDC" > temp4.txt
for \/f "tokens=3" %%a in (temp4.txt) do set pdc=%%a
if exist ms2.txt del ms2.txt
if exist output.txt del output.txt
if exist out2.txt del out2.txt
if exist temp4.txt del temp4.txt
echo.
echo Generating Server List of Member Servers and Workstations
echo.
echo Please Wait…
netdom \/d:%1 \/noverbose member > MS.TXT
for \/F "delims=\\\\ tokens=1" %%a in (ms.txt) do echo %%a >> MS2.TXT
cls
echo.
echo Generating List of Member Servers and Workstations – Done
echo.
echo List Generated.  Checking Password Ages.
echo.
echo Please Wait…
for \/F "tokens=1" %%a in (ms2.txt) do call oldms2.bat %%a %dom% %pdc%
sort < output.txt > out2.txt
del output.txt
echo Machine account ages for domain: %dom% >> output.txt
echo ———————————————— >> output.txt
type out2.txt >> output.txt
if exist ms.txt del ms.txt
if exist out2.txt del out2.txt
if exist temp3.txt del temp3.txt
if exist ms2.txt del ms2.txt
if exist temp.txt del temp.txt
if exist temp4.txt del temp4.txt
if exist total.txt del total.txt
if exist working.txt del working.txt
<\/font>FOR \/F "SKIP=2 tokens=1,2,3" %%A IN (OUTPUT.TXT) DO echo %%A %%B
%%C>>working.txt
type working.txt|find " " \/c>total.txt
for \/f "tokens=1" %%A in (total.txt) do set deloldms=%%A
echo.
Echo List Complete
echo.
Echo %deloldms% machine accounts found.
echo.
if exist total.txt del total.txt
if exist working.txt del working.txt
goto end
:nodomain
echo Specify the target domain on the command line
echo EXAMPLE: oldms MyDomainName
:end<\/font><\/p>\n

OldMS2.bat<\/h2>\n

rem %1 = member server
rem %2 = domain
rem %3 = pdc
nltest \/server:%3 \/user:%1$ | find "PasswordLastSet" > temp.txt
for \/F "delims== tokens=2" %%a in (temp.txt) do oldms3.bat %%a %1<\/font><\/p>\n

OldMS3.bat<\/h2>\n

rem %1 = date
rem %2 = time
rem %3 = member server
echo %1 > temp3.txt
<\/font>for \/F "delims=\/ tokens=1,2,3" %%a in (temp3.txt) do oldms4.bat %%a
%%b %%c %2 %3<\/font><\/p>\n

OldMS4.bat <\/h2>\n

rem %1 = month
rem %2 = day
rem %3 = year
rem %4 = time
rem %5 = member server
echo %3\/%1\/%2 %4 %5 >> output.txt<\/font>               <\/p>\n

DelOldMS.bat<\/h2>\n

@echo off
set dom=
set deloldms=
if exist total.txt del total.txt
if exist working.txt del working.txt
<\/font>FOR \/F "SKIP=2 tokens=1,2,3" %%A IN (OUTPUT.TXT) DO echo %%A %%B %%C>>working.txt
type working.txt|find " " \/c>total.txt
for \/f "tokens=1" %%A in (total.txt) do set deloldms=%%A
cls
echo.
Echo NOTICE: %deloldms% machine accounts found in OUTPUT.TXT, ready for deletion
Echo Press Ctrl + C to abort or..
echo.
pause
FOR \/f "tokens=6" %%a in (output.txt) do set dom=%%a
if "%dom%"=="" goto nodomain
FOR \/F "SKIP=2 TOKENS=3" %%A IN (OUTPUT.TXT) DO CALL BAT2 %%A
if exist total.txt del total.txt
if exist working.txt del working.txt
goto end
:nodomain
echo Domain Name Missing from OUTPUT.TXT
Echo Re-run OLDMS.BAT
:end<\/font><\/p>\n

Bat2.bat<\/h2>\n

NETDOM \/d:%dom% MEMBER %1 \/DELETE<\/font><\/font><\/p>\n

Bueno, hechos los scripts veremos el orden y como utilizarlos. Como pueden ver en ellos, utilizamos varios scripts que a su vez utilizan herramientas del Resource Kit, como puede ser el NetDom.exe<\/font>.<\/font><\/p>\n

Con ellos, podremos crear una lista de cuentas de equipo ordenados seg\u00fan la \u00faltima vez que la contrase\u00f1a de la cuenta de equipo se actualiz\u00f3. Con dicha lista, podremos examinarla para luego quitar todas cuentas de equipo que consideramos activas, dejando s\u00f3lo las cuentas de equipo antiguas en la lista restante. Con esta lista restante, por medio de un script se eliminaran sistem\u00e1ticamente las cuentas de equipo antiguas utilizando herramientas del kit de recursos de Windows. <\/font><\/p>\n