我目前正在進行廣告安裝,其中大約有45,000個帳戶和大約60多個全局編錄服務器,某些帳戶處於活動狀態,其中一些處於禁用狀態。一些活動帳戶是服務帳戶,因爲lastlogondate已有幾個月的歷史,所以似乎不會登錄。Active Directory服務帳戶
如果我禁用某些未登錄的服務帳戶,那麼應用程序將停止工作,因此我知道應用程序正以某種方式向AD進行身份驗證。
我的問題是我如何確定哪個帳戶已被用於驗證,但實際上沒有「登錄」?有沒有我可以查詢的屬性,或者我可以設置它AD以寫入事件日誌?
簡而言之,lastLogonTimestamp是查找非活動帳戶的正確屬性。
見在不同的相關屬性描述以下鏈接:
從上面的鏈接只是複製,使用PowerShell中,你可以得到不活動的用戶(非活動狀態約90天,注意的lastLogonTimestamp只是一個約價值)通過電話:
Search-ADAccount -AccountInactive -DateTime ((get-date).adddays(-90)) -UsersOnly
從Hyena的最後登錄時間,我懷疑這是不準確的。
(我從來沒有使用鬣狗,所以只是一個猜測。)
從以下鏈接:
http://www.systemtools.com/HyenaHelp/index.htm#userlogoninfo.htm
似乎在默認情況下它只能從唯一一個DC上次登錄信息。如果他們從lastLogon屬性獲取此信息而不是lastLogonTimestamp(很可能,否則「檢查所有域控制器」選項是毫無意義的),它只會在此特定DC上獲取登錄時間。因此,如果這些服務帳戶在最近的身份驗證中始終使用DC1,但連接到DC2以獲取登錄時間,則只會得到一個非常舊的時間(或者,如果它從不使用DC2進行身份驗證)。
非常感謝,這真的很有幫助。欣賞它。 – Chrisla9
我不知道你在鬣狗上使用什麼函數或技術來獲得'最後登錄'信息,但正如其他人所指出的那樣,AD屬性'lastlogontimestamp'會給你一個相當準確的日期/時間(〜在10天的準確度內)最後一次使用帳戶。這個屬性可以添加到Hyena的所有用戶查詢中。您還可以導出所有計算機和服務器上的服務信息,以查看正在使用的帳戶。
如果需要其他幫助,請聯繫SystemTools支持 - [email protected]
我們隨時準備支持我們的客戶。
(我與SystemTools(Hyena)支持)
非常感謝您的支持 – Chrisla9
什麼是'lastlogondate'你有? lastLogon屬性,lastLogonTimestamp或PowerShell的LastLogonTimestamp屬性? – baldpate
Lastlogondate在很多情況下是在幾個月前完成的,但是一旦我禁用帳戶,那些已經工作了幾個月的應用程序就停止了。啓用帳戶,它的工作原理,但lastlogondate不會改變 – Chrisla9
我的意思是你在哪裏看到這lastlogondate? AD上的lastLogon/lastLogonTimestamp屬性或PowerShell的LastLogonDate屬性? – baldpate