Допустим, из организации ушел старый администратор. Он не оставил документации и многое настроил «по-своему», игнорируя при этом передовой опыт.
Я хочу удалить его учетную запись, хотя это, скорее всего, приведет к поломке многих действующих служб (так он настроил ее).
Как мне выполнить поиск в сети (или в AD), чтобы найти какие-либо службы, работающие под определенной учетной записью пользователя?
Должен ли я входить на каждый сервер и проверять его службы?
Вы могли бы сделать что-то вроде
foreach($comp in Get-ADComputer)
{
if($(gwmi win32_service -Computername $comp).StartName -eq "DudeWhoLeft")
{
Write-Host "I FOUND A SERVICE ON $comp THAT RUNS AS DUDEWHOLEFT!!!"
}
}
Вы можете просмотреть журнал безопасности на своих контроллерах домена после того, как он уйдет и его учетная запись больше не будет активно использоваться. Ищите успешные входы в его учетную запись и с каких машин они поступают.