好久沒更新了,最近在搞些linux方面的事情,powershell也就耽誤了,更新個整理活動目錄的腳本,供各位參考指正。
需求:
一、加域的計算機和人員要移動到對應分公司的OU(每個OU組策略有區別)
二、刪除密碼過期超過一年的用戶
三、刪除禁用賬戶
關鍵字:move-adobject
實現:windows計劃任務定期執行
後期維護:定期看一下 執行返回值即可
<# .NOTES =========================================================================== Created with: SAPIEN Technologies, Inc., PowerShell Studio 2014 v4.1.63 Created on: 2014/9/4 10:10 Created by: xing_ji Organization: Filename: =========================================================================== .DESCRIPTION A description of the file. #> $host.UI.RawUI.WindowTitle = "move-adobject edit by xing_ji" Import-Module ActiveDirectory #移動計算機對象 $userpath = 'OU=Standard_Computer,OU=CN_Computer,DC=cn,DC=synnex-grp,DC=com' $serverpath= 'OU=Synnex_Server,OU=CN_Computer,DC=cn,DC=synnex-grp,DC=com' $temppath = 'OU=Temp,OU=Standard_Computer,OU=CN_Computer,DC=cn,DC=synnex-grp,DC=com' $allcomputer=Get-ADComputer -SearchBase 'CN=Computers,DC=cn,DC=synnex-grp,DC=com' -Filter * foreach ($computer in $allcomputer) { #因公司計算機標準名稱爲 四位英文+5位流水號 if ($computer.name -match "\d{5}$"){ move-adobject -Identity $computer.distinguishedName -TargetPath $userpath } #將一些測試主機排除 含TES字眼 elseif ($computer.name -match "\D\d{2}$" -and $computer.name -notlike "*TES*"){ Move-ADObject -Identity $computer.distinguishedName -TargetPath $serverpath } else { Move-ADObject -Identity $computer.distinguishedName -TargetPath $temppath } } <#刪除過期超過300天用戶,刪除賬戶有風險,所以這段我註釋了,需要的取消註釋即可 $disableusers=Get-ADUser -Filter 'PasswordNeverExpires -eq "false" -and enabled -eq "true"' |ForEach{$_.name} foreach ($disableuser in $disableusers){ $passwordlastset=Get-ADUser -Identity $disableuser -Properties * | foreach{$_.passwordlastset} $pwdlastday=($passwordlastset).adddays(90) $now=get-date $expire_day=($pwdlastday - $now).days if ($expire_day -le -300){ Remove-ADUser -Identity $disableuser -Confirm:$false } }#> #刪除禁用帳戶,系統內置賬號記得保留,我這裏保留了 guest\krbtgt等,按您需求 #Get-ADUser -Filter 'enabled -eq "false" -and name -notlike "Guest" -and name -notlike "smartit" -and name -notlike "SUPPORT_388945a0" -and name -notlike "krbtgt"'|Remove-ADUser #移動AD用戶,用switch更加明晰。 $cspath='OU=CS,OU=East,OU=Synnex_User,OU=CN_User,DC=cn,DC=synnex-grp,DC=com' $hfpath='OU=HF,OU=East,OU=Synnex_User,OU=CN_User,DC=cn,DC=synnex-grp,DC=com' $hzpath='OU=HZ,OU=East,OU=Synnex_User,OU=CN_User,DC=cn,DC=synnex-grp,DC=com' $nbpath='OU=NB,OU=East,OU=Synnex_User,OU=CN_User,DC=cn,DC=synnex-grp,DC=com' $ncpath='OU=NC,OU=East,OU=Synnex_User,OU=CN_User,DC=cn,DC=synnex-grp,DC=com' $alluser = Get-ADUser -SearchBase 'OU=_Adjust,OU=CN_User,DC=cn,DC=synnex-grp,DC=com' -Filter * -Properties * foreach ($user in $alluser) { if ($user.displayname -match '_CS') { Move-ADObject -Identity $user.distinguishedName -TargetPath $cspath } elseif ($user.displayname -match '_HF'){ Move-ADObject -Identity $user.distinguishedName -TargetPath $hfpath } elseif ($user.displayname -match '_HZ') { Move-ADObject -Identity $user.distinguishedName -TargetPath $hzpath } elseif ($user.displayname -match '_NB') { Move-ADObject -Identity $user.distinguishedName -TargetPath $nbpath } elseif ($user.displayname -match '_NC') { Move-ADObject -Identity $user.distinguishedName -TargetPath $ncpath } }
加入計劃任務當中,按照我這樣設置
注意點:
一、運行級別賬戶請使用系統賬號,如果你用了自己的,萬一你哪天離職,賬戶被刪除,那計劃任務就不能啓動了。
二、並不是腳本之後就完全不用管了,還是要定期看一下任務返回值來判斷是否執行成功,或者手動上去看看對象是否都在正確的位置。
運行有小半年了,沒問題,奉獻給大家,對組織規模大的公司比較有用,省了我不少時間。希望能幫到您。