csvdeコマンドを使ってActive Directoryの情報をCSVに落として利用状況を見られてはどうでしょうか。
文字コードがエンコードされているため、漢字などの部分は読めませんが、どの項目が使われているかはわかります。

使用例：ユーザの一覧を textCSVDE.TXTとして実行ディレクトリに保存
csvde -f testCSVDE.txt -r "(objectClass=user)"

回答ありがとうございました。

どちらかというとチャブーンさんの回答のようなことがやりたかったのですが、
コマンドで情報のエクスポートはこれからどんどんやっていきたいと思います。

チャブーンです。

もし、ご要望が "オブジェクトについての『アクセス日時』" のようなものを探している、というなら残念ながらムリでしょう。

たとえば、利用していないユーザがメンバになってるグループを見たい、ということなら、lastLogon 属性でユーザの利用状況を確かめ、そのユーザが紐付いているグループを抽出する、という方法がありそうです。

http://www.microsoft.com/japan/technet/scriptcenter/resources/qanda/aug04/hey0820.mspx

現実的にみて簡単な方法としては、使っていないと思われるオブジェクトをいったん『無効』に設定して、しばらく様子を見ることです。「今まで使えていたものが使えなくなったら、ご連絡ください」とユーザに知らせておけば、苦情があったユーザについては「有効」にもどすことで、すぐに対応できます。「削除」してしまうとこういう対応が不可能になりますので、この方法は定石のひとつかと思いますよ。

あと余計なことですが、csvde や ldifde コマンドでは日本語は Unicode で扱うことができますので、オプションに -u を入れてあげれば、インポートもエクスポートも問題ありません。このとき、保存されるファイルは Unicode 形式になりますので、エディタで読み書きするときその点に気をつければいいかな、と思います。

チャブーンです。

うっかりしていましたが、ちょっと書き加えます。

> 現実的にみて簡単な方法としては、使っていないと思われるオブジェクトをいったん『無効』に設定して、しばらく様子を見ることです。

うえの設定で、たとえばグループや連絡先は直接無効にはできません。

グループの場合はセキュリティグループから配布グループに変更することで、セキュリティグループとしての機能を無効化することができるでしょう。配布先については、Active Directory オブジェクトのアクセス許可で、読み取り等の拒否設定を行うことで、内容の参照や利用ができなくなるはずです。

チャブーンさん

二つの回答、大変参考になりました。
チャブーンさんがご指摘の通り"オブジェクトについての『アクセス日時』" の
ようなものが取れないかと思って質問しました。おそらく、そのようなことが
できそうにないとわかっただけでも非常によかったです。


まずは無効にできるものについて、一定期間無効→支障がなければ削除という
対応を行おうと思います。それ以外のグループについてもご指摘のやり方で
影響を出さないように徐々に不要なものを減らしていきたいと思います。


これで質問は閉め切ります。
ちゅきさん、チャブーンさん、ありがとうございました。