我们有一堆 AD 帐户,用于各种目的(允许扫描仪将文件保存在网络文件夹中,或者运行服务或计划任务)。有没有一种快速查看帐户使用位置的方法(即使只是主机名/ IP 地址也有助于缩小我们需要关注的机器的范围)。只是一个“这是在任何给定时间段内从哪些计算机或设备访问此帐户”。我们将重置其中许多密码,并希望提前知道它会造成什么损害。谢谢,约翰
答案1
对于这种情况,我再怎么强调良好文档的重要性也不为过。但我想这对你没什么帮助。
使用原生 MS 工具,我猜最好的办法是过滤Security EventlogDC 上的ID 4624。根据域的大小,会有很多,我想不出过滤用户名的方法。不过,你可以输入要调查的用户名Find…,然后每次点击Find Next。这将逐个显示此用户的登录事件。
PS:在所有 DC 上重复以获得完整的结果。
当您使用它时,您可能想要检查这些用户运行的计划任务。
答案2
根据您环境的大小,这项任务可能不是可以手动完成的。您将需要工具或脚本来梳理所有 DC 上的事件。
首先,请注意“登录事件”和“帐户登录事件”之间的区别(MS 在这方面的措辞非常糟糕)。前者是在登录发生的本地计算机上生成的,后者是在“身份验证”发生的 DC 上生成的。
由于您可能无法扫描所有服务器以查找本地登录事件,因此跟踪域帐户登录的更现实的地方是 DC。为此,您需要确保您拥有帐户在 DC 上启用登录审核。然后有多个事件 ID 需要查找。
您可以从 Randy 的网站上找到更多详细信息。(以及第 5 章,以确保完整性) https://www.ultimatewindowssecurity.com/securitylog/book/page.aspx?spid=chapter4