GPOとPowerShellを使用して古いユーザープロファイルを削除する方法は？

多くの初心者のWindows管理者は、C：\Usersからユーザープロファイルフォルダーを手動で削除しようとします。フォルダを手動で削除した後、レジストリキー HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ ProfileListからこのフォルダへのリンクを含むユーザープロファイルセクションを削除する場合に実行できます。 。

Windowsでユーザープロファイルを手動で削除する正しい方法は、システムプロパティを開き、システムの詳細設定に移動することです。 ->ユーザープロファイル ->設定 、リストからユーザーを選択し（[サイズ]列にローカルドライブのプロファイルのサイズが表示されます）、[削除]をクリックします。 ボタン。

ただし、これは手動の方法であり、自動化することをお勧めします。

GPO：指定された日数より古いユーザープロファイルを削除する

Windowsには、xx日より古いユーザープロファイルを自動的に削除する組み込みのグループポリシーがあります。ポリシーシステムの再起動時に指定された日数より古いユーザープロファイルを削除するを見つけることができます GPOセクションの[コンピューターの構成]->[管理用テンプレート]->[システム]->[ユーザープロファイル] 。このポリシーは、ローカルグループポリシーエディター（gpedit.msc）で有効にするか、GPMC.mscのドメインポリシーを使用して有効にできます。

ポリシーを有効にし、ユーザープロファイルがアクティブであると見なされる日数を指定します。この期間が終了すると、Windowsユーザープロファイルサービスは、次回の再起動時にプロファイルを自動的に削除します。 45-90の期間を指定することをお勧めします ここでの日数。

このプロファイル削除の自動方法に関連する主な問題は、サーバーの再起動と非選択性を待つことです（ローカルアカウント、管理者アカウントなどの特定のユーザープロファイルの削除を禁止することはできません）。また、一部のサードパーティソフトウェア（ほとんどの場合、ウイルス対策ソフトウェア）がユーザープロファイルのNTUSER.DATファイルにアクセスし、最後に使用した日付を更新した場合、このポリシーは機能しない可能性があります。

Windowsで古いユーザープロファイルを削除するPowerShellスクリプト

上記の自動クリーンアッププロファイルポリシーを使用する代わりに、単純なPowerShellスクリプトを使用して、無効または非アクティブなユーザーのプロファイルを検索して削除できます。

まず、PowerShellでのディレクトリサイズの取得：

gci -force 'C:\Users'-ErrorAction SilentlyContinue | ? { $_ -is [io.directoryinfo] } | % {
$len = 0
gci -recurse -force $_.fullname -ErrorAction SilentlyContinue | % { $len += $_.length }
$_.fullname, '{0:N2} GB' -f ($len / 1Gb)
$sum = $sum + $len
}
“Total size of profiles”,'{0:N2} GB' -f ($sum / 1Gb)

C：\Usersのすべてのユーザープロファイルの合計サイズは31.5GBです。

プロファイルが60日以上使用されていないユーザーのリストを表示してみましょう。それらを見つけるには、プロファイルのLastUseTimeフィールドの値を使用できます。

Get-WMIObject -class Win32_UserProfile | Where {(!$_.Special) -and ($_.ConvertToDateTime($_.LastUseTime) -lt (Get-Date).AddDays(-60))}| Measure-Object

RDSホストに127個の非アクティブなユーザーアカウントがあることが判明しました（プロファイルの合計サイズは約18 GBです）。

これらのプロファイルをすべて削除するには、ユーザーリストを Remove-WmiObjectにリダイレクトするだけで十分です。 コマンド（スクリプトを実行する前に、–WhatIfパラメーターを使用して出力を再確認することをお勧めします）：

Get-WMIObject -class Win32_UserProfile | Where {(!$_.Special) -and (!$_.Loaded) -and ($_.ConvertToDateTime($_.LastUseTime) -lt (Get-Date).AddDays(-30))} | Remove-WmiObject –WhatIf

システムなど、一部のユーザーのプロファイルを削除しないようにするため およびネットワークサービス アカウント、ローカル管理者 アカウント、アクティブなセッションを持つユーザーのアカウント、アカウント例外 リスト）、次のようにスクリプトを変更できます：

#The list of accounts, which profiles must not be deleted
$ExcludedUsers ="Public","zabbix_agent","svc",”user_1”,”user_2”
$LocalProfiles=Get-WMIObject -class Win32_UserProfile | Where {(!$_.Special) -and (!$_.Loaded) -and ($_.ConvertToDateTime($_.LastUseTime) -lt (Get-Date).AddDays(-60))}
foreach ($LocalProfile in $LocalProfiles)
{
if (!($ExcludedUsers -like $LocalProfile.LocalPath.Replace("C:\Users\","")))
{
$LocalProfile | Remove-WmiObject
Write-host $LocalProfile.LocalPath, "profile deleted” -ForegroundColor Magenta
}
}

このPowerShellスクリプトは、シャットダウン時にGPOを使用するか、タスクスケジューラのPoShスクリプトを使用して実行できます。

スクリプトを変更して、特定のADグループ（たとえば、DisabledUsersグループ）に追加されたすべてのユーザープロファイルを自動的に削除できます。

$users = Get-ADGroupMember -Identity DisabledUsers | Foreach {$_.Sid.Value}
$profiles = Get-WmiObject Win32_UserProfile
$profiles | Where {$users -eq $_.Sid} | Foreach {$_.Delete()}