AD 管理员帐户登录之谜 - 上次登录时间戳

我们找到了域管理员帐户不是除非发生灾难恢复情况，否则不要使用 - LastLogonTimeStamp 属性中有最近的日期。据我所知，在相关时间段内（以及之后的几个月），应该没有人使用过这个帐户，但也许有些白痴已将其配置为运行计划任务。

由于安全日志事件的数量（以及缺乏用于分析的 SIEM 工具），我想确定哪个 DC 具有实际的上次登录时间（即不是我尝试为该帐户添加一个新属性（即“复制属性”），但我已经查询了域中的每个 DC，它们每个的管理员 lastLogon 都是“none”。

这是林中的一个子域，因此可能有人使用此子域管理员帐户在父域中运行某些操作。

除了检查 LastLogonTimestamp 中记录的时间前后来自 16 个林 DC 的潜在 2000 万个事件之外，还有谁能想到一种方法来确定哪个 DC 正在进行登录？我想我可以先定位父域 DC（因为子 DC 似乎没有进行身份验证）。

解释

repadmin[根据下文使用后原因进行归纳后添加]

提出此请求的最初原因是我们的 IT 安全团队，他们想知道为什么我们频繁使用默认域管理员帐户登录。

我们知道我们没有登录。事实证明，有一种称为“Kerberos S4u2Self”的机制，当以本地系统身份运行的调用进程进行某些特权升级时。它做了一个网络以管理员身份登录（非交互式）域控制器。由于它是非交互式的，这就是为什么lastLogon任何 DC 上都没有该帐户（该帐户从未登录过任何当前域控制器）。

本文解释了为什么这个东西会 ping 你的日志并让你的安全团队心烦意乱（源机器是 Server 2003，更糟的是）。以及如何追踪它。https://blogs.technet.microsoft.com/askpfeplat/2014/04/13/how-lastlogontimestamp-is-updated-with-kerberos-s4u2self/

经验教训 - 仅lastLogon在涉及管理员登录时向 IT 安全团队提供有关属性的报告。