由于安全日志事件的数量(以及缺少用于分析的SIEM工具),我想确定哪个DC具有帐户的实际lastlogon时间(即不是复制属性),但我查询了域中的每个DC,并且每个管理员都有一个“无”的lastlogon.
这是林中的子域,因此有人可能已使用此子域管理员帐户在父域中运行某些内容.
除了在LastlogonTimestamp中记录的时间内检查来自16个森林DC的潜在的2000万个事件之外,还有人能想出一种方法来确定哪个DC正在进行登录吗?我想我可以首先定位父域DC(因为子DC似乎没有完成auth).
附录
此请求的原因是我们的IT安全团队,他们想知道我们为什么经常使用默认域管理员帐户登录.
我们知道我们没有登录它.事实证明,有一种称为“Kerberos S4u2Self”的机制,当一个作为本地系统运行的调用进程正在进行某些权限提升时.它在域控制器上以管理员身份进行网络登录(非交互式).由于它是非交互式的,这就是为什么任何DC上的帐户都没有lastlogon(此帐户从未登录到任何当前域控制器).
这篇文章解释了为什么事情ping你的日志并使你的安全团队有小猫(源机器是Server 2003,使事情变得更糟).以及如何追踪它. https://blogs.technet.microsoft.com/askpfeplat/2014/04/13/how-lastlogontimestamp-is-updated-with-kerberos-s4u2self/
解决方法
repadmin /showobjMeta DCNAME "ObjectDN"
将显示原始DSA.
例:
repadmin /showobjMeta CONTOSOMDDC1 "CN=Administrator,CN=Users,DC=contoso,DC=com" 54 entries. Loc.USN Originating DSA Org.USN Org.Time/Date Ver Attribute ======= =============== ========= ============= === ========= 4178442 CONTOSO-mdsite\CONTOSOMDDC1 4178442 2017-03-15 11:37:30 55 lastlogonTimestamp
原文地址:https://www.jb51.cc/html/229356.html
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。