Когда меняется lastlogontimestamp [Версия для КПК]

Показать полную графическую версию : Когда меняется lastlogontimestamp

dahiko

01-08-2019, 14:08

Всем привет!

Интересует такой вопрос. Ищем неиспользуемые учетные записи. Как правило используем скрипты по выгрузке учеток с атрибутом LastLogonTimeStamp. И по этому атрибуту уже фильтруем учетки.

Сегодня возник спор внутри коллектива по поводу изменения данного атрибута. Может ли быть такое, что какой-либо сервис работает на сервере, который никогда не перезагружается, то и LastlogonTimeStamp не поменяется? При этом сам сервис будет функционировать и что-то делать (возможно даже без обращения к контроллерам домена).

dahiko

01-08-2019, 14:40

Только что обнаружили, что на одном Linux сервере есть веб приложение, в котором имеется функционал доменной авторизации. Когда пользователь логинится под доменной четкой на этом сервере, то идет запрос в AD под учеткой user1, эта учетка выдергивает из AD тикет керберос пользователя, который пытается авторирозваться на веб сервере. При этом LastLogonTimeStamp у user1 не меняется.

Как тогда искать неиспользуемые УЗ?

dislike

01-08-2019, 14:51

Мне почему-то кажется, что тактически правильнее будет не удалять никакие учетные записи, а просто отключать их. В случае ЧП можно включить обратно. И если очень хочется, можно удалить отключенную УЗ по прошествии какого-то значительного времени.

dahiko

01-08-2019, 14:54

А никто не говорит про удаление. Мы их просто выключаем. Просто не хочется столкнутся с ситуацией, когда выключил учетку, и встал какой-то критичный сервис, который может быть вообще в другом городе запущен, и на выяснение причин остановки может уйти значительное время (критично даже 5 минут)

dislike

01-08-2019, 15:02

Просто не хочется столкнутся с ситуацией »
Если вам не хочется столкнуться с ситуацией - делайте внятные описания для каждой УЗ, кто она и чего делает. И отключайте те, про которые точно известно, что они больше не понадобятся. Если не знаете - не отключайте. Что хотите добиться этими отключениями?

Ageron

01-08-2019, 15:04

При этом LastLogonTimeStamp у user1 не меняется. »
используйте LastLogonDate

Busla

01-08-2019, 16:41

Ageron, LastLogonDate вычисляется локально на основе LastLogonTimeStamp

Anton04

03-08-2019, 12:00

dahiko,

Полностью согласен коллегой dislike, делайте описания и ещё ведите учёт учётным записям (отдельно) кому они принадлежат и для чего созданы. ;)

dahiko

04-08-2019, 11:54

Друзья, я и так знаю, что нужно заполнять описание. Более того, я сам это всегда делал пока был админом. Но сейчас я ИБшник, и заставить админов заполнять описание или вести перечень учётных записей - это очень проблематично. Админов около 100, у каждого по 10 учёток минимум, среди админов есть безответственные.

Давайте лучше сосредоточимся на решении вопроса, как искать не используемые учетки?
У кого какой опыт есть? Как оказалось, мой опыт с lstlogontimestamp не всегда помогает.