[문의내용]
현재 저희 회사 AD 정책 중에 "컴퓨터계정(Machine 계정) 암호 변경거부" 정책이 있는데, 이 정책은 무슨 정책입니까?
이 정책을 선택하여, Edit를 확인하여 디테일한 부분을 보면, 아래와 같은 내용이 나옵니다.
회사 도메인에서 불필요한 AD개체를 정리하려고 하는데, 어떤 개체가 쓰레기
값이고, 어떤 개체가 현재 사용중 인지 알고 싶습니다.
- 아 래 –
도메인 컨트롤러 : 컴퓨터 계정 암호 변경 거부 / Enalbed
도메인 구성원: 컴퓨터 계정 암호 변경 사용 안 함 / Enabled
도메인 구성원: 컴퓨터 계정 암호 최대 사용 기간 / 999 일
[해결방법]
컴퓨터 계정에 대한 이해가 필요할 듯 합니다.
해당 내용은 http://leemcse.tistory.com/entry/컴퓨터-계정-도메인에-등록하는-방법-1 이 글을 참고 하시면 될 듯 합니다.
간단히 말씀드리면 컴퓨터는 도메인에 최초 가입 시점에 클라이언트 컴퓨터와 도메인 간의 보안 채널을 형성하게 됩니다.
그때 만들어 지는게 컴퓨터 계정 암호 입니다.
기본적으로 30일 마다 변경된다고 보면 됩니다.
위의 정책은 바로 이러한 암호에 대한 정책이라고 생각 하시면 됩니다.
첫번째 질문의 답은 이제 나오겠죠. 클라이언트컴퓨터의 수정한 날짜를 확인 하시면 한달 동안 전혀 수정이 없는 컴퓨터 (도메인 컨트롤러 제외)를 확인 하시면 되겠죠
물론 테스트나 임시로 도메인 가입을 30일 이전에 한 컴퓨터 까지 확인하기는 어렵습니다.
그러나 그러한 경우는 몇 건 없다고 판단되어지네요. 한달 주기로 테스트 하면 정리가 되지 않을까 합니다.
명령어 Dsget 명령어를 확인해 봤는데 옵션이 없더군요.. 스크립트는 너무 어렵고 그래서 아주 간단한 방법을 확인했습니다.
Active Directory 사용자 및 컴퓨터 – 해당 OU – 오른쪽 마우스 - 보기 – 열 추가/제거 – 수정한 날짜 추가
간단하죠 결국 30일 마다 패스워드 변경("LastPwdSet" attribute)을 하니까 수정한 날짜가 오래된 컴퓨터는 확인해 볼 필요가 있겠죠.. ㅎㅎ
실제 저희 도메인을 확인해 보니 저희도 정리 안된게 많더군요.. ㅋㅋ 이번 기회에 정리할까 합니다.
고객의 질문 덕에 서버 정리하는 엔지니어가 되네요.. ㅎㅎ
수고하세요
[출처] 도메인에 등록되어 있으면서 오래되고 안쓰는 컴퓨터 계정 삭제 방법|작성자 이완주
댓글