Назад | Перейти на главную страницу

Получение последнего авторизованного пользователя для потерянного компьютера домена

Недавно мы проверили инвентарь нашего ИТ-оборудования и обнаружили несколько пропавших без вести ноутбуков. Их нет в сети, и большинство из них не входили в наши DC в течение нескольких месяцев. У нас есть отслеживание активов, но, к сожалению, мы в ИТ редко получаем оборудование, возвращаемое нам всякий раз, когда люди уходят, поэтому все в конечном итоге циркулирует (что само по себе является битвой), а это означает, что мы действительно не знаем, у кого были ноутбуки последними.

Мне удалось узнать, когда и где компьютеры последний раз входили в наш DC (Server 2008r2), но теперь я пытаюсь выяснить, возможно ли узнать, кто последний раз входил в эти компьютеры через AD или каким-либо другим способом. Я нашел несколько сценариев PS, но, похоже, все они полагаются на то, что компьютеры находятся в сети или имеют журналы аудита, которые растянуты на несколько месяцев, а у нас их нет. Другая потенциальная проблема заключается в том, что если последний вошедший в систему пользователь является уволенным сотрудником, то, скорее всего, его учетная запись AD уже удалена.

Будем признательны за любые предложения - спасибо!

Без доступа к Success и / или Failure журналы аудита, охватывающие относительное время, когда устройство было в последний раз замечено, у вас не будет способа получить информацию, которую вы ищете.

Кроме того, Active Directory использует расширенный период удаления, который называется «надгробие». По сути, это то место, где объект удерживается после удаления в течение времени, равного времени жизни захоронения («TSL»), которое обычно составляет 180 дней (Windows Server 2003 и новее). Я добавляю это из-за распространенного заблуждения, что удаленный объект немедленно исчезает.

Вы можете просмотреть объект-надгробие через PowerShell. Пример получения вашего объекта: Get-AdObject -Filter { sAMAccountName -like '*kevin' } -IncludeDeletedObjects. Можете добавить ...| Restore-AdObject -Confirm:$FALSE немедленно восстановить объект. Эти команды упрощают сопоставление информации, полученной из журналов аудита и / или продукта агрегации, такого как SIEM, в случае, если пользовательский объект не найден или его нужно получить.

Подумал, что стоит поделиться этой информацией для потомков.