Localizar data que usuário foi habilitado

Todas as Respostas

• 

  

  1

  Entrar para Votar

  Felipe,

  Que eu saiba não existe um atributo no AD que identifica a data que o usuário foi habilitado\desabilitado.

  Boas noticias:

  A saída é ler o event viewer. Habilite um usuário (ou crie, não sei qual o seu caso) e veja qual evento é gerado, provavelmente é no log de segurança, tendo o número do evento então faça um filtro ou crie um script em PowerShell (é o que eu faria) para extrair as informações.

  Recentemente teve uma pergunta muito parecida com essa sua aqui no fórum, tinha até um script pra pegar o evento (não lembro se era quanto a habilitação).

  Más notícias:

  Pode ser que você não tenha o log de auditoria desses eventos habilitados

  Pode ser que o seu log de segurança já tenha sobrescrito os eventos dos últimos 30 dias.

  Ref.:

  AD DS Auditing Step-by-Step Guide

  http://technet.microsoft.com/en-us/library/cc731607(v=ws.10).aspx

  ---

  Fábio de Paula Junior

  
  

  • Editado Fábio JrModerator sexta-feira, 4 de julho de 2014 02:33
  • Sugerido como Resposta Edinaldo Junior sexta-feira, 4 de julho de 2014 11:23
  • Marcado como Resposta Fábio JrModerator terça-feira, 15 de julho de 2014 17:29

  sexta-feira, 4 de julho de 2014 02:32

  Responder

  |

  Citação

  Moderador
• 

  

  1

  Entrar para Votar

  O tópico que eu havia citado:

  Lista com a data de desativação dos usuários no AD

  http://social.technet.microsoft.com/Forums/pt-BR/995cdd44-b507-4a22-9895-646ebe75eeef/lista-com-a-data-de-desativao-dos-usurios-no-ad?forum=scriptadminpt

  ---

  Fábio de Paula Junior

  • Sugerido como Resposta Edinaldo Junior sexta-feira, 4 de julho de 2014 11:23

  sexta-feira, 4 de julho de 2014 11:14

  Responder

  |

  Citação

  Moderador
• 

  

  0

  Entrar para Votar

  Obrigado Fábio pela resposta, também vi que não há esse tipo de atributo, e infelizmente meus logs já sobrescreveram.

  Agora uma dúvida. Sobre o atributo "whenchanged", quais as ações do AD que podem alterar esse atributo? Pois poderia fazer a seguinte pesquisa:

  Quando um usuário que está desabilitado é habilitado, 2 coisas acontecem, ele é movido de OU e é alterado a senha. talvez consiga filtrar algo com essas informações não? Se possível como fazer isso via PS.

  Grato.

  segunda-feira, 7 de julho de 2014 13:10

  Responder

  |

  Citação
• 

  

  0

  Entrar para Votar

  Sobre as ações que podem alterar o "whenchanged"

  "whenChanged" Attribute for Object

  http://social.technet.microsoft.com/Forums/en-US/26556200-6117-4971-b53d-9f6f8e45cca4/whenchanged-attribute-for-object?forum=winserverDS

  Se quiser fazer alguns testes tente este script

  Import-Module ActiveDirectory
  
  $Data_corte = (get-date).AddDays(-2)
  
  get-aduser -filter {whenchanged -gt $Data_corte -and enabled -eq $true}

  
  

  ---

  Fábio de Paula Junior

  segunda-feira, 7 de julho de 2014 14:23

  Responder

  |

  Citação

  Moderador
• 

  

  0

  Entrar para Votar

  Só complementando, você falou sobre a alteração da OU, que poderia ser um marco que sinaliza a mudança, porém cai no mesmo problema anterior pois esta informação estaria no Log.

  ---

  Fábio de Paula Junior

  terça-feira, 8 de julho de 2014 12:34

  Responder

  |

  Citação

  Moderador