Могу ли я использовать SCOM 2007 R2 для просмотра последнего входа компьютеров в систему из Active Directory? У меня есть 4 контроллера домена, которые нужно реплицировать.
Я знаю, что могу использовать другие программы, например http://www.dovestones.com/products/True_Last_Logon.asp но я бы хотел по возможности использовать SCOM.
Есть две вещи, которые вы можете искать. Чтобы получить окончательный ответ для учетной записи компьютера или учетной записи пользователя в любом Active Directory, вам необходимо опросить все контроллеры домена и выбрать самое последнее значение, указанное для LastLogon, потому что это атрибут AD, который никогда не реплицируется между DC. Это то, что делает True Last Logon.
Для компьютерных учетных записей вы можете немного сократить путь, если абсолютная точность не требуется - например, если вы хотите очистить старые и неиспользуемые учетные записи компьютеров. Все подключенные к AD компьютеры автоматически меняют пароль своей учетной записи каждые 30 дней (или каждые 7 дней для Windows Vista \ W2K8 или новее). Это означает, что атрибут PasswordLastChanged для активного компьютера будет регулярно изменяться - этот атрибут реплицируется на все контроллеры домена, поэтому для его определения можно использовать один запрос.
Для учетных записей пользователей это неверно, поэтому вам нужно либо запросить LastLogon у всех DC. Если у вас более новая инфраструктура AD с функциональным уровнем Windows 2003 или Windows 2008, есть несколько новых атрибутов, которые могут предоставить альтернативы, которые могут быть полезны.
При работе на функциональном уровне Server 2008 доступны следующие атрибуты объекта:
msDS-LastSuccessfulInteractiveLogonTime
msDS-LastFailedInteractiveLogonTime
На самом деле он не включен по умолчанию - чтобы включить его, вам необходимо включить следующее для объекта групповой политики, которому принадлежат ваши контроллеры домена.
Computer Configuration| Policies | Administrative Templates | Windows Components | Windows Logon Options | Display information about previous logons during user logon = Enabled
Дополнительная информация в эта статья Technet.
При работе в Server 2003 Functional level или новее доступен следующий атрибут объекта:
LastLogontimeStamp
К сожалению, LastLogonTimeStamp по умолчанию реплицируется только в цикле, который случайным образом варьируется от 9 до 19 дней (для устранения чрезмерного трафика в больших средах), и, насколько мне известно, его нельзя изменить на что-либо быстрее, чем 1 день.
Для всех остальных AD единственным релевантным атрибутом является вышеупомянутый LastLogon
. К сожалению, это никогда не реплицируется, поэтому, если вы хотите использовать его, вам нужно опросить все контроллеры домена в вашем домене, а затем выбрать самое последнее время входа в систему из возвращенных значений.