1. дома
  2. Вопрос и ответ
  3. Учетные записи службы Active Directory

Учетные записи службы Active Directory

2015-01-03 5 views
1

В настоящее время я работаю над установкой AD, где есть около 45 000 учетных записей и около 60 серверов глобального каталога, некоторые учетные записи активны, некоторые из них отключены. Некоторые активные учетные записи - это учетная запись службы, которые не отображаются для входа в систему, поскольку для последнего месяца требуется несколько месяцев.Учетные записи службы Active Directory

Если я отключу некоторые учетные записи службы, которые не входят в систему, приложение перестает работать, поэтому я знаю, что приложение как-то аутентифицируется AD.

Мой вопрос в том, как я могу определить, какая учетная запись была использована для аутентификации, но на самом деле не «вошла в систему»? Есть ли атрибут, который я могу запросить, или могу ли я установить его каким-то образом, что AD записывает в журнал событий?

источник

2015-01-03 Chrisla9

+0

Что такое «lastlogondate» у вас есть? атрибут lastLogon, lastLogonTimestamp или свойство LastLogonTimestamp из PowerShell? – baldpate

+0

Lastlogondate во многих случаях несколько месяцев назад, но как только я отключу учетную запись, приложение, работающее в течение нескольких месяцев, останавливается. Включить учетную запись, и она работает, но lastlogondate не изменяет – Chrisla9

+0

Я имею в виду, где вы видели этот последний сеанс? атрибут lastLogon/lastLogonTimestamp для AD или свойство LastLogonDate из PowerShell? – baldpate

ответ

1

Проще говоря, lastLogonTimestamp является правильным атрибутом для поиска неактивных учетных записей.

Смотрите следующую ссылку для описания на различных связанных атрибутов:

http://social.technet.microsoft.com/wiki/contents/articles/22461.understanding-the-ad-account-attributes-lastlogon-lastlogontimestamp-and-lastlogondate.aspx

Просто скопировал из выше ссылке, с помощью PowerShell, вы можете получить неактивных пользователей (неактивны в течение около 90 дней, обратите внимание lastLogonTimestamp только прибл значение) по телефону:

Search-ADAccount -AccountInactive -DateTime ((get-date).adddays(-90)) -UsersOnly

за последнее время входа в систему от гиены, я подозреваю, что это неточно.
(я никогда не использую гиена раньше, так что просто предположение.)

Из следующей ссылке:

http://www.systemtools.com/HyenaHelp/index.htm#userlogoninfo.htm

Кажется, по умолчанию он только получить последнюю информацию для входа в систему только с одной DC. Если они получают эту информацию из атрибута lastLogon вместо lastLogonTimestamp (очень вероятно, что в противном случае параметр «Проверить все контроллеры домена» не имеет смысла), он будет получать только время входа в этот конкретный DC. Поэтому, если эта учетная запись службы всегда использует DC1 в последних аутентификации, но вы подключаетесь к DC2, чтобы получить время входа в систему, вы получите только очень старое время (или нет, если он никогда не использует DC2 для аутентификации).

источник

2015-01-06 11:44:27 baldpate

+0

Большое спасибо, это действительно полезно. Ценить это. – Chrisla9

0

Я не знаю, какую функцию или технику вы используете в Гиене, чтобы получить информацию о последнем входе в систему, но, как указано другими, атрибут AD «lastlogontimestamp» предоставит вам точную дату/время (~ в пределах 10-дневной точности) последнего использования учетной записи. Этот атрибут можно добавить к любому запросу в Hyena для всех ваших пользователей. Вы также можете экспортировать информацию об услугах на всех компьютерах и серверах, чтобы узнать, какие учетные записи используются.

Если вам нужна дополнительная помощь, контактные SystemTools Поддержка - [email protected]

Мы всегда готовы поддержать наших клиентов.

(Я поддерживаю SystemTools (Hyena))

источник

2015-01-15 06:14:29 missioncritical

+0

Большое спасибо за вашу поддержку – Chrisla9

Смежные вопросы

 Смежные вопросы