我正在尝试找出最近“用户名”登录的来源。用户的“LastLogonTimestamp”AD 属性等于“131181645775731489”。ADUC 控制台将其显示为 2016 年 9 月 12 日下午 4:36:17 夏令时。有趣的是,如果我在域中的每个 DC 上获取 LastLogonDate 和 LastLogon 用户属性,我看不到 2016 年 9 月 12 日的任何地方。查看输出。
Server LastLogonDate LastLogonTimestamp LastLogon
DC03 02/18/16 [09/12/16] 02/18/16
DC04 01/01/01 [09/12/16] 01/01/01
DC05 01/01/01 [09/12/16] 01/01/01
DC14 01/01/01 [09/12/16] 01/01/01
最近没有 DC 降级。我还分析了自 2016 年 9 月 12 日起所有域控制器上的安全日志,没有发现“用户名”登录的痕迹。已启用审核,我可以看到其他用户的登录事件。“用户名”是服务帐户。有什么想法可以找到它的使用位置吗?
更新
所有域控制器均为 Windows Server 2012 R2。域功能级别也是 Windows Server 2012 R2。
答案1
您的域控制器的操作系统版本是什么?域的域功能级别是什么?
交互式 GUI 登录应更新两个登录时间字段,但如果服务帐户仅进行 LDAP 查询,则这些字段将更新lastLogonTimestamp
但不会更新lastLogon
。请参阅https://support.microsoft.com/en-us/kb/939899
文章称,可以通过将 DFL 提升到 2003 模式来纠正这个问题。
答案2
我找到了登录的来源。它似乎是一个 Nagios 监控用户,连接到 SQL 服务器执行检查。在这种情况下,它会在 SQL 服务器上留下一个事件(见下文),但不会在 DC 上留下。所以对我有帮助的是解析域成员服务器上的日志。
Log Name: Application
Source: MSSQL$INSTANCE
Date: 10/4/2016 10:10:06 PM
Event ID: 18453
Task Category: Logon
Level: Information
Keywords: Classic,Audit Success
User: DOMAIN\username
Computer: SQLSERVER.DOMAIN.COM
Description: Login succeeded for user 'DOMAIN\username'. Connection made using Windows authentication. [CLIENT: 10.0.0.4]