我想知道在 Active Directory 中是否有一种方法可以查询计算机对象以查找最后登录的用户。
不良的资产跟踪导致我有几台无法定位的机器,我想知道最后是谁使用了它们。
谢谢
编辑:只是为了澄清一下,我无法物理找到这些机器,而且它看起来好像已经有一段时间没有通电了,这就是为什么我想知道谁最后拥有它们,这样我就可以查询它们。
答案1
我曾经有过几次“这到底是哪儿”的困惑。我通常的解决方法如下。
我做的第一件事是浏览 C: 驱动器 ( \\LOSTCMPUTER\C$
) 并查看本地配置文件,看看我是否至少可以确定它位于哪个部门。然后在配置文件目录中四处搜索,尝试查找最近更改的文件,如果有任何可疑之处,请联系用户。如果没有,请在部门内四处走动,并绑定您认为在那里的所有计算机以及实际在那里的计算机。
如果失败的话,请在全局登录脚本中输入类似这样的内容。
if($ThisComputerName == 'LOSTCOMPUTER')
{
WriteFile("\\SERVER\WRITEABLESHARE", "$Username logged onto LOSTCOMPUTER");
}
其他可以尝试的事情可能是禁用计算机对象,当有人打电话询问为什么他们无法登录计算机时,记下它在哪里并重新启用该帐户。
答案2
我不知道如何分辨哪台计算机上的哪个用户,但我可以告诉你如何知道计算机最后一次接触网络的时间。在 ADUnC 中,确保在查看菜单下选择了“高级”。在 AD 计算机对象上,你可以转到属性编辑器选项卡(在现代版本的 AD 工具中)并查找 lastLogonTimeStamp,它将告诉你计算机最后一次启动或登录网络的时间(域中的每台计算机实际上都使用自己的秘密密码登录)。它精确到 5 天以内。
还有一些可能对未来有帮助的信息 获取每个服务器的登录用户列表
Server 2008 R2 中用于帐户审计和登录事件的新功能 http://technet.microsoft.com/en-us/library/dd560628(WS.10).aspx
免费的 MS 跟踪工具,供下次“limitlogin”使用 http://technet.microsoft.com/en-us/magazine/2005.05.utilityspotlight.aspx
答案3
不要以为你可以从 AD 中获得这样的信息。你可以尝试检查“C:\Documents and Settings”并查看最后修改的文件夹。
答案4
我还在我们的防病毒软件控制台中发现了此信息,其中包含机器名称和用户上次登录的信息。