首页 文章

Active Directory服务帐户

提问于
浏览
1

我目前正在进行AD安装,其中有大约45,000个帐户和大约60个全局编录服务器,有些帐户处于活动状态,有些帐户被禁用 . 一些活动帐户是服务帐户,由于lastlogondate已有几个月的历史,因此无法登录 .

如果我禁用一些没有登录的服务帐户,应用程序停止工作,所以我知道应用程序正在以某种方式对AD进行身份验证 .

我的问题是如何确定哪个帐户已用于验证但实际上还没有“登录”?是否有我可以查询的属性,或者我可以设置它以某种方式AD写入事件日志?

active-directory

2 回答

  • 0

    简单来说,lastLogonTimestamp是查找非活动帐户的正确属性 .

    有关不同相关属性的说明,请参阅以下链接:

    http://social.technet.microsoft.com/wiki/contents/articles/22461.understanding-the-ad-account-attributes-lastlogon-lastlogontimestamp-and-lastlogondate.aspx

    只需从上面的链接复制,使用PowerShell,您可以通过调用以下方式获取非活动用户(AROUND 90天无效,注意lastLogonTimestamp只是一个近似值):

    Search-ADAccount -AccountInactive -DateTime ((get-date).adddays(-90)) -UsersOnly

    对于Hyena的最后登录时间,我怀疑它是不准确的 .
    (我之前从未使用过鬣狗,所以只是一个猜测 . )

    从以下链接:

    http://www.systemtools.com/HyenaHelp/index.htm#userlogoninfo.htm

    默认情况下,它仅从一个DC获取最后一次登录信息 . 如果他们从lastLogon属性而不是lastLogonTimestamp获取此信息(很可能,否则“检查所有域控制器”选项毫无意义),它只会获得此特定DC上的登录时间 . 因此,如果这些服务帐户在最近的身份验证中始终使用DC1,但是您连接到DC2以获取登录时间,那么您将只能获得非常旧的时间(如果它从未使用DC2进行身份验证,则为无) .

    回复于
  • 1

    我不知道您在Hyena中使用什么功能或技术来获取“上次登录”信息,但正如其他人所指出的,AD属性“lastlogontimestamp”将为您提供相当准确的日期/时间(~10天内)最后一次使用帐户的准确性 . 可以将此属性添加到Hyena中的所有用户的任何查询中 . 您还可以在所有计算机和服务器上导出服务信息,以查看正在使用的帐户 .

    如果您需要其他帮助,请联系SystemTools支持 - support@systemtools.com

    我们随时准备为客户提供支持 .

    (我使用SystemTools(Hyena)支持)

    回复于

相关问题