Quando um máquina é inserida no domínio ela recebe uma "senha de máquina" que é gerenciada pelo próprio AD e que é alterada periodicamente. Essa alteração periódica é a garantia que a comunicação AD <=> Máquina está funcionando.

Em um ambiente onde temos poucas máquinas o gerenciamento dos objetos obsoletos (máquinas físicas que não existem mais) é de certa maneira simples, podendo ser realizado manualmente. Agora imagine você se deparar com um AD com mais de 50.000 objetos de máquina? Como saber qual objeto é obsoleto ou não? Qual máquina ainda existe ou não no ambiente? Qual delas ainda está se comunicando com o AD?

Através de scripts e algumas ferramentas é possível fazer essa administração. Mas em casos onde temos uma estrutura complexa no AD, e o responsável pela administração do AD não possui tal escopo, que é de responsabilidade de técnicos de onsite, essa "limpeza" pode se tornar um problema. PS.: Sim! Onde trabalho nós do Onsite que somos responsáveis pela administração de máquinas no AD.

Para resolver isto criei essa aplicação que trabalha em conjunto com o oldCmp, para quem não conhece, essa ferramenta faz um dump dos objetos de máquina e outras coisas [detalhes]. Como é uma ferramenta de console, o risco de errar um dos seus parâmetros pode ser catastrófico. E como técnico as vezes vira usuário, o dano pode ser maior ainda! (Quem trabalha na área de suporte, entende o que estou falando. )

• O que a aplicação faz?
  Ela pega a lista de máquinas que atendem aos critérios definidos, altera a descrição da mesma, desabilita a conta de máquina e move para uma OU determinada.
• Se a máquina não se comunica mais, por que não deletar o objeto ao invés desabilitar e mover?
  Se uma senha de máquina não é alterada a mais de 60 dias com certeza esta máquina não existe mais ou está com algum problema que impede essa comunicação com o AD. Logo, se não esta se comunicando, não está recebendo GPO!
• Como corrigir esta falha de comunicação?
  Pelas experiências que tenho na empresa, o simples fato de reingressar a máquina no domínio resolve 90% dos casos.
  Uma dica: Deixar a máquina desabilitada em uma OU durante 1 mês, se algum usuário reclamar que não consegue logar, basta reingressar a máquina no domínio. Se ninguém reclamar, DEL!!!
• Como saber a quanto tempo a máquina não se comunica?
  O dump do OldCmp tem um campo chamado lltsAge (Last Login Timestamp Age). Esse campo mostra o número de dias desde a última alteração da senha da máquina.

Acesse a área de Downloads e baixe a aplicação junto com a ajuda de como configurar a mesma. Aqui