獲取失去域電腦的最後登錄使用者
我們最近審核了我們的 IT 設備庫存,發現有幾台筆記型電腦失去了。他們不在網路上,而且大多數人幾個月都沒有登錄我們的 DC。我們有資產跟踪,但不幸的是,我們在 IT 部門很少會在人們離開時將設備帶回給我們,所以事情最終會流傳開來(這本身就是一場戰鬥),這意味著我們真的不知道誰最後擁有筆記型電腦。
我能夠找出電腦最後一次登錄我們的 DC(伺服器 2008r2)的時間和地點,但現在我想看看是否可以通過 AD 或其他方式找到最後一次登錄這些電腦的人。我找到了一些 PS 腳本,但它們似乎都依賴於網路上的電腦或具有可追溯到幾個月前的審計日誌,而我們沒有。另一個潛在的挑戰是,如果最後登錄的使用者是已離職的員工,那麼他們的 AD 帳戶現在很可能已被刪除。
任何建議將不勝感激 - 謝謝!
如果無法訪問
Success和/或Failure審核日誌,這些日誌可以追溯到設備最後一次被看到的相對時間,您將無法檢索您正在尋找的資訊。順便說一句,Active Directory 使用稱為“墓碑”的延長刪除期。這實質上是刪除對像後保留的時間量等於 Tombstone 生命週期 (“TSL”),通常為 180 天(Windows Server 2003 和更新版本)。我之所以添加這個,是因為人們普遍認為已刪除的對象會立即消失。
您可以通過 PowerShell 查看 tombstone’d 對象。檢索對象的範例:
Get-AdObject -Filter { sAMAccountName -like '*kevin' } -IncludeDeletedObjects. 您可以添加 …| Restore-AdObject -Confirm:$FALSE以立即恢復對象。在未找到或需要檢索使用者對象的情況下,這些命令使從審核日誌和/或聚合產品(如 SIEM)獲得的相關資訊更容易一些。認為為了後人的利益而分享這些資訊是值得的。