Недавно мы проверили инвентарь нашего ИТ-оборудования и обнаружили несколько пропавших без вести ноутбуков. Их нет в сети, и большинство из них не входили в наши DC в течение нескольких месяцев. У нас есть отслеживание активов, но, к сожалению, мы в ИТ редко получаем оборудование, возвращаемое нам всякий раз, когда люди уходят, поэтому все в конечном итоге циркулирует (что само по себе является битвой), а это означает, что мы действительно не знаем, у кого были ноутбуки последними.
Мне удалось узнать, когда и где компьютеры последний раз входили в наш DC (Server 2008r2), но теперь я пытаюсь выяснить, возможно ли узнать, кто последний раз входил в эти компьютеры через AD или каким-либо другим способом. Я нашел несколько сценариев PS, но, похоже, все они полагаются на то, что компьютеры находятся в сети или имеют журналы аудита, которые растянуты на несколько месяцев, а у нас их нет. Другая потенциальная проблема заключается в том, что если последний вошедший в систему пользователь является уволенным сотрудником, то, скорее всего, его учетная запись AD уже удалена.
Будем признательны за любые предложения - спасибо!
Без доступа к Success
и / или Failure
журналы аудита, охватывающие относительное время, когда устройство было в последний раз замечено, у вас не будет способа получить информацию, которую вы ищете.
Кроме того, Active Directory использует расширенный период удаления, который называется «надгробие». По сути, это то место, где объект удерживается после удаления в течение времени, равного времени жизни захоронения («TSL»), которое обычно составляет 180 дней (Windows Server 2003 и новее). Я добавляю это из-за распространенного заблуждения, что удаленный объект немедленно исчезает.
Вы можете просмотреть объект-надгробие через PowerShell. Пример получения вашего объекта: Get-AdObject -Filter { sAMAccountName -like '*kevin' } -IncludeDeletedObjects
. Можете добавить ...| Restore-AdObject -Confirm:$FALSE
немедленно восстановить объект. Эти команды упрощают сопоставление информации, полученной из журналов аудита и / или продукта агрегации, такого как SIEM, в случае, если пользовательский объект не найден или его нужно получить.
Подумал, что стоит поделиться этой информацией для потомков.