我有一个旧的服务帐户,它附加到 7 或 8 台服务器上不确定数量的计划任务和服务。
不幸的是,这个账户是由一位前员工创建的,但他没有记录密码,所以现在我需要添加更多与此服务相关的计划任务。我真的不想再创建另一个服务账户,只是为了我的变化。
我可以在域控制器上使用什么东西来记录该服务帐户尝试进行身份验证时发生的情况?这样,每当我更改密码时,我就会知道需要修复什么!:)
答案1
如果只有 7 到 8 台服务器,我会对服务执行以下操作
wmic /node:服务器名称服务其中“startname 类似于'%domain netbios name%'”获取 startname,name
做
schtasks /s 服务器名称 /query /v | findstr /i “域 netbios 名称”
对于计划任务
答案2
如果您配置了适当的审核,然后对您的 DC 使用 EventCombMT,那么您可以执行此操作。
答案3
我相信这是您想要使用的正确审计。将以下键的值更改为 5(HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics\15 Field Engineering)。这将记录针对您的 DC 进行的每个 ldap 查询。以下是 KB 文章,解释了键更改和详细程度。我赞成在启用此设置后使用 eventcombMT 对日志进行实际排序,但要小心,因为启用此功能后您的日志会很快填满。