none
поиск старых компьютеров ad RRS feed

  • Вопрос

  • Доброе утро, по какому параметру искать старые компьютерные учетные записи в active directory. есть 2 варианта

    1. get-adcomputer -properties lastLogonDate -filter * | where { $_.lastLogonDate -lt (get-date).addmonths(-12) } | sort Name | FT Name,LastLogonDate - по последнему входу на сервер.

    2. и по последнему изменению пароля учетной записи компьютера

    Так какой самый правильный? поделитесь мнением.

    25 декабря 2012 г. 5:45

Ответы

Все ответы

  • Более простой и правильный вариант будет использовать lastlogontimestamp(т.е. 1 пункт),если настолько критично то проверяйте  оба,хотя я бы ограничился только 1.
    • Изменено KazunEditor 25 декабря 2012 г. 6:30
    25 декабря 2012 г. 6:29
    Отвечающий
  • Добавлю пять копеек: http://shserg.ru/posts/search-old-computer-user-accounts-in-ad/


    my blog: http://shserg.ru/

    • Предложено в качестве ответа Dmitry DavydovModerator 25 декабря 2012 г. 15:48
    • Помечено в качестве ответа KazunEditor 5 января 2013 г. 22:28
    25 декабря 2012 г. 7:00
  • хотя я бы ограничился только 1.
    Есть подозрение, что компьютеры с большим аптаймом попадут в результат запроса и будут затем случайно удалены.

    MCITP:SA, MCTS:Exchange Configuring

    26 декабря 2012 г. 9:23
  • хотя я бы ограничился только 1.

    Есть подозрение, что компьютеры с большим аптаймом попадут в результат запроса и будут затем случайно удалены.

    MCITP:SA, MCTS:Exchange Configuring


    При прохождению аутентификации происходит обновление аттрибута lastlogon,потом идет сравнение с lastlogontimestamp и уже потом система сделает обновление lastlogontimestamp,поэтому имхо шанс небольшой.
    26 декабря 2012 г. 9:47
    Отвечающий


  • При прохождению аутентификации происходит обновление аттрибута lastlogon,потом идет сравнение с lastlogontimestamp и уже потом система сделает обновление lastlogontimestamp,поэтому имхо шанс небольшой.

    Я не нашел информации обновляется ли lastlogontimestamp учетной записи компьютера, если он просто стоит включенным, обрабатывает  запросы, получает Service Tickets и т.п.

    То есть что вообще имеется в виду под логоном - получение TGT, его обновление или еще что-то?


    MCITP:SA, MCTS:Exchange Configuring

    27 декабря 2012 г. 6:11


  • При прохождению аутентификации происходит обновление аттрибута lastlogon,потом идет сравнение с lastlogontimestamp и уже потом система сделает обновление lastlogontimestamp,поэтому имхо шанс небольшой.

    Я не нашел информации обновляется ли lastlogontimestamp учетной записи компьютера, если он просто стоит включенным, обрабатывает  запросы, получает Service Tickets и т.п.

    То есть что вообще имеется в виду под логоном - получение TGT, его обновление или еще что-то?


    MCITP:SA, MCTS:Exchange Configuring

    Interactive, Network, and Service logons will update the lastLogontimeStamp. - http://blogs.technet.com/b/askds/archive/2009/04/15/the-lastlogontimestamp-attribute-what-it-was-designed-for-and-how-it-works.aspx

    При обновлении того же билета Kerberos,произойдет обновление lastlogon и уже в дальнейшем обновление lastlogontimestamp.

    Если в случае аутентификации не происходит обновление lastlogon,тогда собственно и lastlogontimestamp не будет обновляться,но тут я думаю будет специфичная сеть.


    • Изменено KazunEditor 27 декабря 2012 г. 6:44
    27 декабря 2012 г. 6:43
    Отвечающий