2 votos

Conseguir el último usuario registrado para la computadora de dominio perdido

Recientemente hemos auditado nuestro inventario de equipos y han llegado a través de algunos de los ordenadores portátiles que faltan. Ellos no están en la red, y la mayoría no han iniciado sesión en nuestro DC en varios meses. Hemos de seguimiento de activos, pero por desgracia en la que rara vez SE consiga el equipo trajo de vuelta a nosotros cuando la gente se va, así que las cosas terminan de circulación (que es una batalla en sí mismo), es decir, no sabemos realmente que disponían de ordenadores portátiles de última.

Yo era capaz de encontrar donde y cuando los equipos de la última sesión en nuestro CC (Server 2008r2), pero ahora estoy tratando de ver si es posible encontrar la última persona que se registra en estos equipos a través de ANUNCIOS o de algún otro medio. He encontrado un par de PS scripts, pero parece que todos se basan en los equipos de la red o tener registros de auditoría que se remontan a varios meses, lo que no tenemos. Otro reto potencial es que si el último usuario registrado es un empleado despedido, a continuación, las posibilidades son buenas de su cuenta del ANUNCIO ha sido borrado por ahora.

Cualquier sugerencia sería muy apreciada, gracias!

2voto

Cale Vernon Puntos 106

Sin acceso a la Success y/o Failure registros de auditoría que abarca la relación de tiempo que el dispositivo fue visto por última vez usted no tiene manera de recuperar la información que usted está buscando.

Como un aparte, Active Directory utiliza un prolongado período de eliminación que se denomina un "desecho". Esto es básicamente donde se mantiene un objeto en la eliminación de una cantidad de tiempo igual a la duración de Desecho ("TSL"), que normalmente es de 180 días (Windows Server 2003 o más reciente). Voy a agregar esto debido a la idea errónea de que un objeto eliminado inmediatamente ido.

Usted puede ver una lápida había objeto a través de PowerShell. Un ejemplo para recuperar su objeto: Get-AdObject -Filter { sAMAccountName -like '*kevin' } -IncludeDeletedObjects. Usted puede agregar ...| Restore-AdObject -Confirm:$FALSE a restablecer de inmediato el objeto. Estos comandos hacen que la correlación de la información obtenida de los Registros de Auditoría y/o una agregación de productos, tales como SIEM, un poco más fácil en el caso de un objeto de usuario no se encuentra o necesita ser recuperado.

Pensé que valía la pena compartir la información para la posteridad el amor.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: