Questão É possível obter a data do último login de um usuário no AD se o usuário foi excluído?


Depois de STTRé muito bom explicações sobre como obter as datas do último login de existir (incluindo deficientes) usuários do AD e como recuperar a lista de usuários excluídos, uma questão permanece.

Desde que os logs sejam preservados por tempo suficiente, é possível obter a data em que deletado usuário logado no AD pela última vez? Como?


1


origem


Se você não consegue encontrar o valor do usuário lastLogon (ldifde -u -x -f <fileName.txt>), então há duas maneiras. 1. log de eventos de segurança no servidor. 2. log de eventos de segurança nas estações de trabalho e perfis de usuário em estações de trabalho ao alterar NTUSER.DAT.LOG NTUSER.DAT e fornecer informações sobre a última entrada da estação de trabalho. Se possível, forneça a versão e o service pack do sistema operacional do servidor. wmic os get caption, CSDVersion Para diferentes versões do sistema operacional disponíveis em diferentes ferramentas administrativas. Além disso, o que você acha da entrada? Interativo, uma rede ou como um trabalho? - STTR
Como variante - log RRAS e SMTP e log do servidor proxy. - STTR


Respostas:


Se você estiver executando com o Domain Functional Level 2008 e tiver a Lixeira do Active Directory habilitada, este comando do powershell funcionará para contas excluídas nos últimos 6 meses:

[datetime]::FromFileTime((Get-ADObject -Filter {SamAccountName -like "joeuser"} –IncludeDeletedObjects -prop *).lastLogonTimestamp)

Substitua o nome de usuário de joeuser


1



Vou ter que verificar isso um dia, mas gosto do que vejo :) - ZygD