如何自动化清理 Active Directory 中的非活动用户帐户？

在企业 IT 管理中，Active Directory（AD）作为核心身份认证与权限管理系统，其账户安全性直接关系到企业数据安全与业务稳定。然而，当员工离职、调岗后，遗留的 AD 用户账户常被忽视，这些长期未使用的非活动账户，因密码未更新、权限未回收，成为黑客攻击的 “薄弱环节”，可能导致数据泄露、系统被非法入侵等严重风险。为了保证 AD 域的最佳安全性，企业应始终确保保护非活动或过时的用户帐户，或者更好的是删除。

一、使用原生 AD 工具（ADUC）清理

Microsoft 允许管理员使用本机 AD 用户和计算机 （ADUC） 工具的“保存的查询”功能跟踪非活动用户。管理员可以创建一个已保存的查询，并根据自上次登录以来的天数定义用户的不活动时间段。

从获取的非活动用户列表中，管理员可以为单个用户执行禁用帐户、重置帐户和移动等任务。但是，您可以为批量用户修改执行的任务是有限的。见下图 2。也无法自动生成报告或安排将其发送到您的邮箱。

二、理想的 AD 非活动用户清理方案：

需具备自动化与高效管理能力为解决原生工具的局限，企业需要一套具备 AD 自动化能力的解决方案，帮助管理员实现非活动用户账户的高效清理。而 ADManager Plus 这款自动化 AD 域管和报表工具则是一款理想的解决方案。满足以下核心需求：

（1）能根据自定义条件（如上次登录时间、账户创建时间、部门等），精准筛选出非活动用户，生成详细的 “非活动用户报告”便于管理员快速了解账户详情。

（2）以易于使用的格式将报告导出给需要采取适当作（包括禁用、移动和删除用户）的管理员或经理。确保各部门协同配合，及时确认账户是否需要保留，避免误删有效账户。

（3）安排报告每天或每周自动生成，并将其发送到您的电子邮件。

（4）自动化清理策略配置​ 支持配置全流程自动化清理策略，从筛选非活动用户到最终删除账户，实现 “一键自动化”：​第一步：自动移动账户：系统根据策略，将符合条件的非活动用户自动移动到预设的 “待清理 OU” 中，与活跃账户分离，便于管理；​

第二步：自动禁用账户：在账户移动到 “待清理 OU” 后，系统自动禁用账户，防止账户被非法登录；​

第三步：自动批量删除：设置延迟删除周期（如禁用 30 天后），系统在周期结束后，自动批量删除已禁用的非活动账户，完成清理流程。

面对原生 AD 工具（ADUC）的局限，ADManager Plus 作为一款专业的 AD 管理与自动化工具，能完美满足企业对非活动用户账户清理的全部需求。使用 ADManager，管理员可以直接从报告中同时对多个用户帐户执行作，而不是对每个用户帐户多次执行相同的动作。管理员还可以在报告中一次重置多个用户的密码。通过安排和自动清理非活动用户，管理员可以专注于更重要的任务。

三、总结

Microsoft 原生 AD 工具（ADUC）虽能实现非活动用户的基础跟踪，但缺乏 AD 自动化能力，无法满足企业高效、安全的清理需求。但是通过使用 ADManager Plus，您可以自动执行关键的日常任务，例如删除不活动的用户帐户。您还可以配置要按特定计划执行的一系列任务。目前，ADManager Plus 提供 30 天免费试用版，企业可立即下载试用，亲身体验其在 AD 自动化管理、AD 用户预配等方面的强大能力，让 AD 管理更高效、更安全。