我有一个活动目录查询给你们
在一家公司做系统管理员已经有一段时间了。我们有6个dmc(2个Azure托管,然后2个用于我们的两个站点,一个物理和一个备份)。
我们有一个问题在最近几个月与管理员权限滥用,所以我们创建了一个单独的管理帐户为每个域用户在一个新的组织单位。这些管理员帐户现在有本地管理员访问他们的工作站,而不是他们的常规域帐户,所以我们可以更好地监控那些定期登录和不定期登录的登录。
我创建了几个powershell脚本来收集来自6个DMC中的每个DMC的lastLogon属性信息,因为这是一个非复制值,并且对于每个DMC都是唯一的。但是,现在让我困惑的是,它似乎并不是一个准确的衡量管理账户实际登录的时间。例如,当以管理员身份运行cmd或安装软件时。
我用我的管理帐户运行了多次测试,让我感到奇怪的是,当我把它作为管理员错误地运行cmd时,badpwrdcount属性会在DMC上更新,但是当我正确登录时,lastLogon属性不会增加……跨越任何DMC。这让我开始思考,并质疑我对最后一次登录的理解。这是任何域认证登录,以管理员身份运行cmd,它验证用户的管理帐户。它必须这样做,否则badpwrdcount属性不会增加。这也不可能是时间延迟或同步问题,因为badpwrdcount会立即更新。
似乎我可以确认注册到这个属性的唯一登录是当工作站本身被解锁时,或者当用户远程到另一台机器时。
这让我们所有人都很挠头,因为它有点违背了创建第二个用户管理帐户的目的,因为我们现在不能正确地监控登录。它已经被勉强接受了,所以我们不想承认我们现在对它有问题。
如果有任何帮助就太好了。
TL:博士;lastLogon属性在广告不更新所有后腰与第二个管理员登录时用户帐户运行cmd管理,然而badpwrdcount属性更新如果输入的密码不正确。
LastLogOn在启动新的登录会话时设置。LastLogOn没有更新的一个原因可能是admin用户在机器上仍然有一个有效的kerberos TGT/TGS。您可以检查,例如,通过发出命令:
klist sessions
命令行。尝试清除所有票证
klist purge -lh 0 -li 3e7
klist purge -lh 0 -li 3e5
klist purge -lh 0 -li 3e4
,然后再次连接一个管理帐户,并检查是否LastLogOn在各自的域控制器上更新…