1

У меня нет этого со мной, чтобы проверить, так как я не администратор ОС. Я предполагаю, что в Active Directory (AD) установлено некоторое время по умолчанию для хранения журналов. Меня особенно интересуют журналы для входа / выхода пользователя хранилища. Мне нужно будет проверить эти журналы, так как некоторые пользователи AD были удалены, но я должен выяснить, когда они в последний раз входили в систему.

1 ответ1

1

Настройки времени жизни захоронения по умолчанию (дни):

  • Windows 2000 или Windows Server 2003 RTM: 60
  • Server 2003 SP1: 180
  • Server 2003 R2: 60 или 180
  • Server 2003 SP2, Server 2003 R2 SP2 и более поздние версии: 180
  • Windows Server 2008 и выше 180

Определение фактической установки времени жизни Tombstone:

dsquery * "cn=directory service,cn=windows nt,cn=services,cn=configuration,dc=<FQDN>" -scope base -attr tombstonelifetime

Получение удаленных объектов:

Ldifde -u -x -f <FileName.txt>

-u Использовать формат Unicode
-x Включить удаленные объекты (надгробия)

Чтобы найти удаленных пользователей:

  • в <FileName.txt> найдите строку \0ADEL или CN=Deleted Objects .
  • или используйте графический интерфейс: используйте ldp.exe и ищите CN=Deleted Objects .

Получение UserName и метки времени НЕ удаленных пользователей:

  dsquery * -limit 0 -filter "&(objectClass=User)(objectCategory=Person)" -attr sAMAccountName lastlogontimestamp

Если требуется больше данных, используйте -attr * .

Чтобы преобразовать полученную метку времени в дату, используйте это:

w32tm /ntte 130722669980039000

Выход:

151299 09:16:38.0039000 - 31.03.2015 12:16:38 (local time)

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .