Windows Server 2008 R2 是我的域控制器,即 Active Directory
我需要找出特定域 ID 何时用于身份验证。我知道从“Active Directory 用户和计算机”>“域 ID”,在“属性编辑器”选项卡中,我们可以找到“上次登录”和“上次登录时间戳”,但它仅在用户通过某个域系统登录时更新,对吗?并以 14 天的间隔复制到其他域控制器。
但是,如果用户在第三方应用程序中使用其域 ID 身份验证来获取 LDAP 信息或通过 Sonicwall Global VPN 连接登录,那么我认为此 LastLogon 时间戳不会更新,因为他没有登录,而只是使用它的身份验证来验证其凭据。如果是,那么如何找出该特定域 ID 的上次身份验证时间
问候,Param
答案1
从“LastLogonTimeStamp 属性” – “它的设计目的和工作原理”。
需要注意的是,该
lastLogontimeStamp属性的预期目的是帮助识别不活动的计算机和用户帐户。它并非旨在提供实时登录信息。在默认设置下,lastLogontimeStamp 将比当前日期晚 9-14 天。如果你正在寻找更“实时”的登录跟踪,你需要查询 DC 上的安全事件日志以获取所需的登录事件,即 528 –Windows XP2003 及更早版本或 4624 Windows Vista2008。请参阅此博客文章请参阅 Eric Fitzgerald 的更多内容。(我认为他对审计有所了解)
我认为,获取近实时数据的最佳方法是使用事件日志收集服务将所有域控制器安全事件日志收集到集中数据库中。然后,您可以在单个数据库中查询所需的登录事件。Microsoft 的安全事件日志收集解决方案是审计收集服务. 还有许多第三方解决方案。