Получение последнего авторизованного пользователя для потерянных d omain computer
Мы недавно проверили инвентаризацию нашего ИТ-оборудования и обнаружили несколько пропавших без вести ноутбуков. Их нет в сети, и большинство из них не входили в наши DC в течение нескольких месяцев. У нас есть отслеживание активов, но, к сожалению, мы в ИТ редко получаем оборудование, возвращаемое нам всякий раз, когда люди уходят, поэтому все в конечном итоге циркулирует (что само по себе является битвой), а это означает, что мы действительно не знаем, у кого были ноутбуки последними.
Мне удалось узнать, когда и где компьютеры последний раз входили в наш DC (Server 2008r2), но теперь я пытаюсь выяснить, возможно ли узнать, кто последний раз входил в эти компьютеры через AD или каким-либо другим способом. Я нашел несколько сценариев PS, но, похоже, все они полагаются на то, что компьютеры находятся в сети или имеют журналы аудита за несколько месяцев, а у нас их нет. Другая потенциальная проблема заключается в том, что если последний вошедший в систему пользователь является уволенным сотрудником, то велика вероятность, что его учетная запись AD уже удалена.
Мы будем очень благодарны за любые предложения - спасибо!
Без доступа до Успех и / или Отказ журналы аудита, охватывающие относительное время, когда устройство было в последний раз замечено, у вас не будет возможности получить искомую информацию.
Кроме того, Active Directory использует расширенный период удаления, который называется «надгробие». По сути, это то место, где объект удерживается при удалении в течение времени, равного времени жизни захоронения (TSL), которое обычно составляет 180 дней (Windows Server 2003 и новее). Я добавляю это из-за распространенного заблуждения, что удаленный объект немедленно исчезает.
Вы можете просмотреть объект надгробия через PowerShell. Пример получения вашего объекта: Get-AdObject -Filter {sAMAccountName -like '* kevin'} -IncludeDeletedObjects . Вы можете добавить ... | Restore-AdObject -Confirm: $ FALSE , чтобы немедленно восстановить объект. Эти команды упрощают сопоставление информации, полученной из журналов аудита и / или продукта агрегации, такого как SIEM, в случае, если пользовательский объект не найден или его нужно получить.
Решили, что стоит поделиться информацией. ради потомства.