Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Серверные продукты Microsoft » Windows Server 2012/2012 R2 » 2012 R2 - Когда меняется lastlogontimestamp

Ответить
Настройки темы
2012 R2 - Когда меняется lastlogontimestamp

Старожил


Сообщения: 412
Благодарности: 19

Профиль | Отправить PM | Цитировать


Всем привет!

Интересует такой вопрос. Ищем неиспользуемые учетные записи. Как правило используем скрипты по выгрузке учеток с атрибутом LastLogonTimeStamp. И по этому атрибуту уже фильтруем учетки.

Сегодня возник спор внутри коллектива по поводу изменения данного атрибута. Может ли быть такое, что какой-либо сервис работает на сервере, который никогда не перезагружается, то и LastlogonTimeStamp не поменяется? При этом сам сервис будет функционировать и что-то делать (возможно даже без обращения к контроллерам домена).

Отправлено: 14:08, 01-08-2019

 

Старожил


Сообщения: 412
Благодарности: 19

Профиль | Отправить PM | Цитировать


Только что обнаружили, что на одном Linux сервере есть веб приложение, в котором имеется функционал доменной авторизации. Когда пользователь логинится под доменной четкой на этом сервере, то идет запрос в AD под учеткой user1, эта учетка выдергивает из AD тикет керберос пользователя, который пытается авторирозваться на веб сервере. При этом LastLogonTimeStamp у user1 не меняется.

Как тогда искать неиспользуемые УЗ?

Отправлено: 14:40, 01-08-2019 | #2



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Ветеран


Сообщения: 2417
Благодарности: 465

Профиль | Цитировать


Мне почему-то кажется, что тактически правильнее будет не удалять никакие учетные записи, а просто отключать их. В случае ЧП можно включить обратно. И если очень хочется, можно удалить отключенную УЗ по прошествии какого-то значительного времени.
Это сообщение посчитали полезным следующие участники:

Отправлено: 14:51, 01-08-2019 | #3


Старожил


Сообщения: 412
Благодарности: 19

Профиль | Отправить PM | Цитировать


А никто не говорит про удаление. Мы их просто выключаем. Просто не хочется столкнутся с ситуацией, когда выключил учетку, и встал какой-то критичный сервис, который может быть вообще в другом городе запущен, и на выяснение причин остановки может уйти значительное время (критично даже 5 минут)

Отправлено: 14:54, 01-08-2019 | #4


Ветеран


Сообщения: 2417
Благодарности: 465

Профиль | Цитировать


Цитата dahiko:
Просто не хочется столкнутся с ситуацией »
Если вам не хочется столкнуться с ситуацией - делайте внятные описания для каждой УЗ, кто она и чего делает. И отключайте те, про которые точно известно, что они больше не понадобятся. Если не знаете - не отключайте. Что хотите добиться этими отключениями?

Отправлено: 15:02, 01-08-2019 | #5


Старожил


Сообщения: 427
Благодарности: 72

Профиль | Отправить PM | Цитировать


Цитата dahiko:
При этом LastLogonTimeStamp у user1 не меняется. »
используйте LastLogonDate

Отправлено: 15:04, 01-08-2019 | #6


Ветеран


Сообщения: 3806
Благодарности: 824

Профиль | Отправить PM | Цитировать


Ageron, LastLogonDate вычисляется локально на основе LastLogonTimeStamp

Отправлено: 16:41, 01-08-2019 | #7


Аватара для Anton04

Ветеран


Сообщения: 2054
Благодарности: 389

Профиль | Отправить PM | Цитировать


dahiko,

Полностью согласен коллегой dislike, делайте описания и ещё ведите учёт учётным записям (отдельно) кому они принадлежат и для чего созданы.

-------
Слабый всю жизнь идёт лёгкой дорогой, черта сильного выбрать трудный путь.
Будь осторожен в своих желаниях, ибо они иногда сбываются.


Отправлено: 12:00, 03-08-2019 | #8


Старожил


Сообщения: 412
Благодарности: 19

Профиль | Отправить PM | Цитировать


Друзья, я и так знаю, что нужно заполнять описание. Более того, я сам это всегда делал пока был админом. Но сейчас я ИБшник, и заставить админов заполнять описание или вести перечень учётных записей - это очень проблематично. Админов около 100, у каждого по 10 учёток минимум, среди админов есть безответственные.

Давайте лучше сосредоточимся на решении вопроса, как искать не используемые учетки?
У кого какой опыт есть? Как оказалось, мой опыт с lstlogontimestamp не всегда помогает.

Отправлено: 11:54, 04-08-2019 | #9



Компьютерный форум OSzone.net » Серверные продукты Microsoft » Windows Server 2012/2012 R2 » 2012 R2 - Когда меняется lastlogontimestamp

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
2008 R2 - lastLogontimeStamp nokogerra Windows Server 2008/2008 R2 2 06-11-2014 11:29
VPN - Номер PPP интерфейса меняется каждый раз когда я подключаюсь eXtremer Сетевые технологии 4 03-10-2013 10:28
Параметр LastLogonTimestamp В AD. ГрМакс Microsoft Windows NT/2000/2003 5 04-12-2008 18:12
CMD/BAT - Расширение файла: когда BAT, а когда - CMD? truvo Скриптовые языки администрирования Windows 6 20-10-2008 03:29
CMD/BAT - когда имена короткие, когда имена длинные ... akrav Скриптовые языки администрирования Windows 6 08-02-2008 11:01




 
Переход