Чи можна отримати дату останнього входу користувача в AD, якщо користувача було видалено?

1

Після дуже хороших пояснень STTR про те, як отримати дати останнього входу існуючих (включаючи відключених) користувачів AD та як отримати список видалених користувачів, залишається одне питання.

За умови, що журнали зберігаються досить довго, чи можна отримати дату, коли якийсь певний видалений користувач ввійшов до AD в останній раз? Як?

active-directory  windows-domain 
ZygD
джерело
Якщо ви не можете знайти значення користувача lastLogon( ldifde -u -x -f <fileName.txt>), то є два способи. 1. Журнал подій безпеки на сервері. 2. Журнал подій безпеки на робочих станціях та профілях користувачів на робочих станціях під час зміни NTUSER.DAT.LOG NTUSER.DAT та надання інформації про останній вхід з робочої станції. Якщо можливо, наведіть версію та пакет оновлень серверної операційної системи. wmic os get caption, CSDVersionДля різних версій ОС доступні різні адміністративні засоби. Додатково, як ви думаєте, вхід? Інтерактивна, мережа чи як робота?
STTR
Як варіант - журнал RRAS і SMTP, і журнал проксі-сервера.
STTR

Відповіді:

1

Якщо ви працюєте з доменним функціональним рівнем 2008 та увімкнено коробку Active Directory, ця команда повноважень буде працювати для облікових записів, видалених за останні 6 місяців:

[datetime]::FromFileTime((Get-ADObject -Filter {SamAccountName -like "joeuser"} –IncludeDeletedObjects -prop *).lastLogonTimestamp)

Замініть ім'я користувача joeuser

Зак Болінгер
джерело
Мені доведеться перевірити це колись, але мені подобається те, що я бачу :)
ZygD
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.