檢測使用者是否在 Windows 中使用 keytab 或密碼

所以我的問題已經從標題中得到了解釋。我想知道如何檢測使用者是否使用 keytab 或密碼對域控制器進行身份驗證。我正在考慮檢查日誌文件以查看已使用的會話，如果可能的話，我不確定它會告訴我一些具體的資訊來區分它們嗎？

更新1：

我正在考慮檢查日誌文件以查看已使用的會話，如果可能的話，我不確定它會告訴我一些具體的資訊來區分它們嗎？

這還沒有調查

在這種情況下，如果使用者正在使用 keytab，則在 keytab 生成後通過以下命令：例如：

ktpass -out centos1-dev-local.keytab -mapUser krbCentos@DEV.LOCAL +rndPass -mapOp set +DumpSalt -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -princ HTTP/centos1.dev.local@DEV.LOCAL

使用者登錄名更改為 SPN，因此 Kerberos 客戶端可以通過查找它找到它。請注意，已選中“帳戶選項”下的**“此帳戶支持 Kerberos AES 256 位加密”**複選框。必須在生成密鑰表後手動選中該複選框，否則您將收到一條錯誤消息，類似於“找不到適當類型的密鑰以解密 AP REP…”。

通過這個，我們可以使用 PowerShell 通過查找其登錄名稱或msDS-SupportedEncryptionType屬性來使用 keytab 查找使用者。

引用自：https://serverfault.com/questions/907135