Когда меняется lastlogontimestamp
Всем привет!
Интересует такой вопрос. Ищем неиспользуемые учетные записи. Как правило используем скрипты по выгрузке учеток с атрибутом LastLogonTimeStamp. И по этому атрибуту уже фильтруем учетки.
Сегодня возник спор внутри коллектива по поводу изменения данного атрибута. Может ли быть такое, что какой-либо сервис работает на сервере, который никогда не перезагружается, то и LastlogonTimeStamp не поменяется? При этом сам сервис будет функционировать и что-то делать (возможно даже без обращения к контроллерам домена).
|
Только что обнаружили, что на одном Linux сервере есть веб приложение, в котором имеется функционал доменной авторизации. Когда пользователь логинится под доменной четкой на этом сервере, то идет запрос в AD под учеткой user1, эта учетка выдергивает из AD тикет керберос пользователя, который пытается авторирозваться на веб сервере. При этом LastLogonTimeStamp у user1 не меняется.
Как тогда искать неиспользуемые УЗ?
|
Мне почему-то кажется, что тактически правильнее будет не удалять никакие учетные записи, а просто отключать их. В случае ЧП можно включить обратно. И если очень хочется, можно удалить отключенную УЗ по прошествии какого-то значительного времени.
|
А никто не говорит про удаление. Мы их просто выключаем. Просто не хочется столкнутся с ситуацией, когда выключил учетку, и встал какой-то критичный сервис, который может быть вообще в другом городе запущен, и на выяснение причин остановки может уйти значительное время (критично даже 5 минут)
|
Цитата:
Цитата dahiko
Просто не хочется столкнутся с ситуацией »
|
Если вам не хочется столкнуться с ситуацией - делайте внятные описания для каждой УЗ, кто она и чего делает. И отключайте те, про которые точно известно, что они больше не понадобятся. Если не знаете - не отключайте. Что хотите добиться этими отключениями?
|
Цитата:
Цитата dahiko
При этом LastLogonTimeStamp у user1 не меняется. »
|
используйте LastLogonDate
|
Ageron, LastLogonDate вычисляется локально на основе LastLogonTimeStamp
|
dahiko,
Полностью согласен коллегой dislike, делайте описания и ещё ведите учёт учётным записям (отдельно) кому они принадлежат и для чего созданы. ;)
|
Друзья, я и так знаю, что нужно заполнять описание. Более того, я сам это всегда делал пока был админом. Но сейчас я ИБшник, и заставить админов заполнять описание или вести перечень учётных записей - это очень проблематично. Админов около 100, у каждого по 10 учёток минимум, среди админов есть безответственные.
Давайте лучше сосредоточимся на решении вопроса, как искать не используемые учетки?
У кого какой опыт есть? Как оказалось, мой опыт с lstlogontimestamp не всегда помогает.
|
Время: 04:46.
© OSzone.net 2001-