У меня нет этого со мной, чтобы проверить, так как я не администратор ОС. Я предполагаю, что в Active Directory (AD) установлено некоторое время по умолчанию для хранения журналов. Меня особенно интересуют журналы для входа / выхода пользователя хранилища. Мне нужно будет проверить эти журналы, так как некоторые пользователи AD были удалены, но я должен выяснить, когда они в последний раз входили в систему.
1 ответ
1
Настройки времени жизни захоронения по умолчанию (дни):
- Windows 2000 или Windows Server 2003 RTM: 60
- Server 2003 SP1: 180
- Server 2003 R2: 60 или 180
- Server 2003 SP2, Server 2003 R2 SP2 и более поздние версии: 180
- Windows Server 2008 и выше 180
Определение фактической установки времени жизни Tombstone:
dsquery * "cn=directory service,cn=windows nt,cn=services,cn=configuration,dc=<FQDN>" -scope base -attr tombstonelifetime
Получение удаленных объектов:
Ldifde -u -x -f <FileName.txt>
-u
Использовать формат Unicode
-x
Включить удаленные объекты (надгробия)
Чтобы найти удаленных пользователей:
- в
<FileName.txt>
найдите строку\0ADEL
илиCN=Deleted Objects
. - или используйте графический интерфейс: используйте
ldp.exe
и ищитеCN=Deleted Objects
.
Получение UserName и метки времени НЕ удаленных пользователей:
dsquery * -limit 0 -filter "&(objectClass=User)(objectCategory=Person)" -attr sAMAccountName lastlogontimestamp
Если требуется больше данных, используйте -attr *
.
Чтобы преобразовать полученную метку времени в дату, используйте это:
w32tm /ntte 130722669980039000
Выход:
151299 09:16:38.0039000 - 31.03.2015 12:16:38 (local time)