Každé AD by mělo být pravidelně monitorováno, aby neobsahovalo vyhnilé účty, jak počítačů, tak lidí. Ne všude to funguje tak, že člověk odchází ze společnosti a automaticky jsou smazány všechny jeho účty. Je to také oblíbenou otázkou auditorů. Takže přijde vhod jednoduchý baťáček, spouštěný pravidelně v rozumných intervalech (denně/týdně), který projde komplet doménu a vyhledá mrtvoly.
@echo off
rem Zablokuje uzivatele a pocitace, ktere jsou neaktivni po dobu peti tydnu
dsquery computer -inactive 5 | dsmod computer -disabled yes
dsquery user -inactive 5 | dsmod user -disabled yes
rem Nasledujici sekce preventivne zkontroluje, zdali nebyl zablokovan nejaky dulezity
rem systemovy ucet, ktery se pouziva jednou za cas
rem Pokud byl zablokovan, povoli jej
dsquery user –name bck-admin -disabled | dsmod user -disabled no
dsquery user -name usr-exmerge -disabled | dsmod user -disabled no
dsquery user -name SPNca -disabled | dsmod user -disabled no
dsquery user -name IUSR_SERVER -disabled | dsmod user -disabled no
dsquery user -name IWAM_SERVER -disabled | dsmod user -disabled no
Admin pak může mít v ADU&C předpřipravené uložené dotazy, které mu vyjedou všechny zablokované uživatele, všechny zablokované počítače a může je snadno zkontrolovat a případně smazat.