Active Directory服务帐户

时间:2015-01-03 15:53:16

标签: active-directory

我目前正在进行AD安装,其中有大约45,000个帐户和大约60多个全局编录服务器,有些帐户处于活动状态,有些帐户被禁用。一些活动帐户是服务帐户,由于lastlogondate已有几个月的历史,因此无法登录。

如果我禁用某些未登录的服务帐户,则应用程序停止工作,因此我知道应用程序正在以某种方式对AD进行身份验证。

我的问题是如何确定哪个帐户已用于身份验证但尚未“登录”?是否有我可以查询的属性,或者我可以设置它以某种方式将AD写入事件日志?

2 个答案:

答案 0 :(得分:1)

简单来说,lastLogonTimestamp是查找非活动帐户的正确属性。

有关不同相关属性的说明,请参阅以下链接:

http://social.technet.microsoft.com/wiki/contents/articles/22461.understanding-the-ad-account-attributes-lastlogon-lastlogontimestamp-and-lastlogondate.aspx

只需从上面的链接复制,使用PowerShell,您可以通过调用以下内容来获取非活动用户(AROUND 90天无效,注意lastLogonTimestamp只是一个近似值):

Search-ADAccount -AccountInactive -DateTime ((get-date).adddays(-90)) -UsersOnly

对于Hyena的最后一次登录时间,我怀疑它是不准确的 (我之前从不使用过鬣狗,所以只是一个猜测。)

从以下链接:

http://www.systemtools.com/HyenaHelp/index.htm#userlogoninfo.htm

默认情况下,它仅从一个DC获取最后一次登录信息。如果他们从lastLogon属性而不是lastLogonTimestamp获取此信息(很可能,否则“检查所有域控制器”选项毫无意义),它只会获得此特定DC上的登录时间。因此,如果这些服务帐户在最近的身份验证中始终使用DC1,但是您连接到DC2以获取登录时间,那么您将只能获得非常旧的时间(如果它从未使用DC2进行身份验证,则为无时间)。

答案 1 :(得分:0)

我不知道你在Hyena中使用了什么功能或技术来获得最后一次登录'信息,但正如其他人所指出的,AD属性' lastlogontimestamp'将为您提供最后一次使用帐户的相当准确的日期/时间(〜10天准确度内)。可以将此属性添加到Hyena中的所有用户的任何查询中。您还可以在所有计算机和服务器上导出服务信息,以查看正在使用的帐户。

如果您需要其他帮助,请联系SystemTools支持 - support@systemtools.com

我们随时准备为客户提供支持。

(我使用SystemTools(Hyena)支持)

相关问题
最新问题