我们最近审计了我们的 IT 设备库存,发现有几台笔记本电脑不见了。它们不在网络上,而且大多数笔记本电脑几个月都没有登录我们的数据中心了。我们有资产追踪,但不幸的是,当人们离开时,IT 部门很少能把设备带回来,所以东西最终流转了(这本身就是一场战斗),这意味着我们真的不知道谁最后拥有了这些笔记本电脑。
我能够找出计算机最后一次登录到我们的 DC(Server 2008r2)的时间和地点,但现在我试图看看是否有可能通过 AD 或其他方式找到最后一次登录这些计算机的人。我找到了一些 PS 脚本,但它们似乎都依赖于计算机在网络上或具有可追溯到几个月的审计日志,而我们没有。另一个潜在的挑战是,如果最后登录的用户是已离职的员工,那么他们的 AD 帐户很可能已经被删除了。
非常感谢您的任何建议 - 谢谢!
答案1
如果无法访问Success和/或Failure审核可追溯到设备最后一次被看到时的相对时间的日志,您将无法检索到您正在寻找的信息。
另外,Active Directory 使用称为“墓碑”的延长删除期。这实质上是指对象在删除后保留一段时间,时间等于墓碑生存期(“TSL”),通常为 180 天(Windows Server 2003 及更新版本)。我之所以添加这个功能,是因为人们普遍误以为删除的对象会立即消失。
您可以通过 PowerShell 查看已删除的对象。检索对象的示例:Get-AdObject -Filter { sAMAccountName -like '*kevin' } -IncludeDeletedObjects。您可以添加 ...| Restore-AdObject -Confirm:$FALSE以立即恢复对象。这些命令使关联从审计日志和/或聚合产品(如 SIEM)获得的信息变得更容易,以防找不到或需要检索用户对象。
我觉得为了后人的利益,这些信息值得分享。