วิธีทำ AD Cleanup อย่างปลอดภัยโดยไม่กระทบผู้ใช้

① AD Cleanup คืออะไร

เมื่อ Active Directory ถูกใช้งานมาหลายปี

มักเกิดข้อมูลสะสมจำนวนมาก เช่น

• User ที่ลาออกแล้ว
• Computer ที่เลิกใช้งาน
• Group ที่ไม่มีสมาชิก
• Service Account ที่ไม่ถูกใช้งาน
• Domain Controller ที่ถูกถอดออกจากระบบ
• DNS Record เก่า

สิ่งเหล่านี้เรียกว่า

AD Garbage

หรือข้อมูลที่ไม่มีประโยชน์ต่อระบบแล้ว

หากปล่อยทิ้งไว้เป็นเวลานาน

อาจส่งผลต่อ

✅ Security

✅ Performance

✅ Audit

✅ Compliance

✅ การบริหารจัดการ

ดังนั้นการทำ AD Cleanup จึงเป็นงานสำคัญของผู้ดูแลระบบระดับ Enterprise

---

② ทำไมต้องทำ AD Cleanup

หลายองค์กรมี User ในระบบ

5,000 คน

แต่พนักงานจริง

3,500 คน

หมายความว่า

มี Account ที่ไม่ถูกใช้งานจำนวนมาก

ความเสี่ยงที่ตามมา

❌ ถูกนำไปใช้โจมตี

❌ ถูกใช้เป็น Backdoor

❌ สร้างความสับสนในการ Audit

❌ เพิ่มความซับซ้อนของ Active Directory

ยิ่งระบบมีอายุมาก

ความเสี่ยงยิ่งเพิ่มขึ้น

---

③ สิ่งที่ควร Cleanup

หัวข้อหลักที่ควรตรวจสอบ

Inactive Users

Inactive Computers

Unused Groups

Disabled Objects

Old DNS Records

Orphaned Objects

Unused Service Accounts

Stale Domain Controllers

ควรดำเนินการอย่างเป็นระบบ

ไม่ใช่ลบทีละรายการแบบสุ่ม

---

④ เริ่มต้นด้วยการเก็บข้อมูล

ก่อนลบสิ่งใด

ควรเก็บข้อมูลก่อนเสมอ

ตัวอย่าง

Get-ADUser

Get-ADComputer

Get-ADGroup

Export รายงานออกมา

เพื่อวิเคราะห์

ก่อนตัดสินใจดำเนินการ

---

⑤ ค้นหา User ที่ไม่ได้ใช้งาน

ตัวอย่าง PowerShell

Search-ADAccount -AccountInactive -UsersOnly -TimeSpan 90.00:00:00

ค้นหา User ที่ไม่ได้ Login เกิน

90 วัน

แต่

อย่าลบทันที

ต้องตรวจสอบก่อนว่า

เป็น

• พนักงานลางาน
• พนักงานต่างประเทศ
• Service Account

หรือไม่

---

⑥ จัดการ Inactive User อย่างปลอดภัย

Best Practice

ขั้นตอนที่แนะนำ

Step 1

Disable Account

30 วัน

Step 2

ตรวจสอบผลกระทบ

Step 3

Archive ข้อมูล

Step 4

ลบออกจากระบบ

แนวทางนี้ปลอดภัยกว่าการลบทันที

---

⑦ ค้นหา Computer ที่ไม่ได้ใช้งาน

ตัวอย่าง

Search-ADAccount -AccountInactive -ComputersOnly -TimeSpan 90.00:00:00

เครื่องที่ไม่เคยติดต่อ Domain

เป็นเวลานาน

อาจเป็น

• เครื่องเสีย
• เครื่องถูกเปลี่ยน
• เครื่องเลิกใช้งาน

ควรตรวจสอบก่อนดำเนินการ

---

⑧ จัดการ Group ที่ไม่ได้ใช้งาน

หลายองค์กรมี Group หลายพันรายการ

ตัวอย่าง

HR-Old

Project2019

TempGroup

ที่ไม่มีสมาชิกเหลืออยู่

ควรตรวจสอบ

Member Count

และ

Usage History

ก่อนลบ

---

⑨ Cleanup Service Account

Service Account เป็นจุดที่ต้องระวังมากที่สุด

ห้ามลบโดยอาศัย Last Logon เพียงอย่างเดียว

เพราะบางระบบ

อาจทำงานเป็น

Scheduled Task

หรือ

Application Service

โดยไม่ Login แบบ Interactive

จึงต้องตรวจสอบ Dependency ก่อนทุกครั้ง

---

⑩ Cleanup DNS Records

DNS มักสะสมข้อมูลเก่า

เช่น

PC001

PC002

ที่ถูกเลิกใช้งานไปแล้ว

ควรเปิด

DNS Aging

และ

DNS Scavenging

เพื่อลด Stale Record

อย่างปลอดภัย

---

⑪ Cleanup Domain Controller เก่า

หลายองค์กรเคยมี

DC01

แต่ถอดออกไปแล้ว

อย่างไรก็ตาม

Metadata ยังอยู่ใน AD

ปัญหาที่เกิดขึ้น

• Replication Error
• DNS Error
• Site Error

ควรใช้

ntdsutil

หรือ

Remove-ADDomainController

เพื่อล้าง Metadata อย่างถูกต้อง

---

⑫ Cleanup OU ที่ไม่ได้ใช้งาน

OU เก่ามักสะสมจำนวนมาก

ตัวอย่าง

Project2020

Migration-Test

Old Branch

ควรตรวจสอบ

• Object Count
• GPO Link
• Delegation

ก่อนลบ

---

⑬ Cleanup Group Policy

GPO จำนวนมาก

อาจไม่ได้ถูกใช้งานแล้ว

ควรตรวจสอบ

Link Status

Last Modified

Owner

ก่อนดำเนินการลบ

---

⑭ ใช้ AD Recycle Bin

ก่อนเริ่ม Cleanup

ควรเปิด

Active Directory Recycle Bin

เอาไว้เสมอ

ข้อดี

✅ Restore ได้รวดเร็ว

✅ ลด Downtime

✅ ลดความเสี่ยงจาก Human Error

ถือเป็น Best Practice ของ Active Directory ยุคใหม่

---

⑮ ทำ Cleanup เป็นรอบเวลา

องค์กรระดับ Enterprise มักใช้

Monthly Review

Quarterly Cleanup

Annual Audit

แทนการปล่อยให้สะสมหลายปี

---

⑯ ข้อผิดพลาดที่พบบ่อย

❌ ลบ User ทันที

❌ ลบ Computer โดยไม่ตรวจสอบ

❌ ลบ Service Account

❌ ไม่ Backup ก่อน Cleanup

❌ ไม่ใช้ Recycle Bin

❌ ไม่มี Documentation

❌ ไม่มี Approval Process

❌ ไม่มี Rollback Plan

ความผิดพลาดเพียงครั้งเดียว

อาจกระทบผู้ใช้งานทั้งองค์กร

---

⑰ แนวทางที่องค์กรระดับโลกนิยมใช้

องค์กรขนาดใหญ่ส่วนมากใช้

AD Governance

ร่วมกับ

Automation

Audit

Lifecycle Management

AD Recycle Bin

เพื่อให้ Active Directory สะอาดอยู่เสมอ

และลดความเสี่ยงด้าน Security

---

⑱ สรุป

AD Cleanup ไม่ใช่การลบข้อมูลออกจากระบบ แต่เป็นกระบวนการจัดระเบียบ Active Directory อย่างปลอดภัย โดยต้องอาศัยการวางแผน การตรวจสอบ และการสำรองข้อมูลที่เหมาะสม

การทำ Cleanup อย่างต่อเนื่องจะช่วยลดความเสี่ยงด้าน Security เพิ่มประสิทธิภาพการบริหารจัดการ และช่วยให้องค์กรผ่านการ Audit ได้ง่ายขึ้น

จากประสบการณ์ของ comsiam องค์กรที่ไม่เคยทำ AD Cleanup เกิน 5 ปี มักพบ User, Computer และ Group ที่ไม่ถูกใช้งานสะสมอยู่จำนวนมาก และ comsiam มักแนะนำให้กำหนด Lifecycle Management และ Cleanup Schedule อย่างชัดเจนตั้งแต่เริ่มต้นใช้งาน Active Directory

คำถามชวนคิด

ถ้าวันนี้คุณเปิด Active Directory ขึ้นมา คุณมั่นใจหรือไม่ว่า User, Computer และ Group ทุกตัวในระบบยังถูกใช้งานจริง และไม่มี Account เก่าที่กำลังกลายเป็นช่องโหว่ด้าน Security ขององค์กร?