我所在组织的密码策略要求定期更新/更改两个帐户的密码。
有没有办法确定某个特定 AD 用户帐户的使用位置?我想确定在更改帐户密码之前活动目录中会出现什么问题。
答案1
扫描每台计算机上的安全事件日志,查找该用户帐户的登录信息。
答案2
也许最简单的方法是在您的域控制器上启用成功登录审核,然后在日志中搜索您要查找的用户。
附注:
- 服务帐户的名称应具有某种逻辑结构。Microsoft 建议使用 Vendor$Product$Server 格式。因此,如果您在 Server01 上运行 Acme 的 FooBar,则服务帐户名称应为 Acme$FooBar$Server01。
- 您应该跟踪所有服务帐户及其使用位置。这可以很容易地成为一个简单的电子表格(Google Docs、LibreOffice 等都是免费的)。它至少应该跟踪帐户名称、预期用途、上次密码更改以及使用它们的服务器/服务。
- 密码应该非常长且复杂,我使用 KeePass 生成 32 个字母的“goop”。这样密码就不需要经常更改。更改密码可以防止一些事情,但这些事情对于设置了良好密码的服务帐户来说都不是件容易的事情。
- 您应该定期检查您的业务实践,以确保它们不会造成比其本身更大的麻烦。实践应该合理,其中大多数都很容易。
术语:
- “服务帐户”是任何用户帐户,可以是“管理员”帐户或任何其他帐户,由自动登录的进程使用(最常见的是服务器上运行的服务,因此得名)。
- Active Directory 是保存用户帐户(包括密码)的系统。它不以用户身份运行,帐户不在其“内部”使用。帐户由其他程序使用。
- Windows 没有“root”帐户。有一个在首次配置 AD 时设置的“管理员”帐户,但它并不像 *nix 环境中的“root”那样特殊。在 Windows 中,可以相对轻松地完全替换此“管理员”帐户。
答案3
您可以扫描用户的日志(如上所述),或者只需更改密码,然后查看哪些地方出错。查找审核失败和帐户锁定比查找成功登录更容易/更快,而且有一些您可以使用 MS 工具来跟踪帐户锁定。