AD প্রশাসক অ্যাকাউন্ট লগনের রহস্য - সর্বশেষ লগনের টাইমস্ট্যাম্প

আমরা ডোমেন প্রশাসক অ্যাকাউন্টটি পেয়েছি - যা আমরা দুর্যোগ পুনরুদ্ধারের পরিস্থিতি ব্যতীত ব্যবহার করি না - লাস্টলগনটাইমস্ট্যাম্প বৈশিষ্ট্যে সাম্প্রতিক তারিখ রয়েছে। যতদূর আমি অবগত রয়েছি, সম্পর্কিত অ্যাকাউন্টে (এবং বেশ কয়েকটি মাস ছাড়িয়ে) কারও এই অ্যাকাউন্টটি ব্যবহার করা উচিত হয়নি, তবে সম্ভবত কিছু নির্বোধ এটি নির্ধারিত টাস্কটি চালানোর জন্য কনফিগার করেছেন।

নিরাপত্তা লগ ইন করুন ঘটনা পরিমাণ কারণে আমি তা নির্ধারণ করতে যা ডিসি প্রকৃত ছিল চেয়েছিলেন (এবং বিশ্লেষণের জন্য সিয়েম টুল অভাব) lastLogon সময় (অর্থাত না , অ্যাকাউন্টের জন্য প্রতিলিপি অনুষঙ্গ) কিন্তু আমি ডোমেইনে প্রত্যেক ডিসি জানতে চাওয়া হয়েছে, এবং এগুলির প্রত্যেকের প্রশাসকের জন্য সর্বশেষ "কিছুই নেই" এর শেষ লোগান রয়েছে।

এটি বনের একটি শিশু ডোমেন, সুতরাং এটি সম্ভব যে কেউ এই চাইল্ড ডোমেন প্রশাসক অ্যাকাউন্টটি প্যারেন্ট ডোমেনে কিছু চালাতে ব্যবহার করেছেন।

লাস্টলগনটাইমস্ট্যাম্পে রেকর্ড হওয়া সময়কালের মধ্যে 16 টি বনজির ডিসি থেকে সম্ভাব্য 20 মিলিয়ন ইভেন্টগুলি পরীক্ষা করা ছাড়া কোন ডিসি লগনটি করছে তা নির্ধারণ করার কোনও উপায়ের কথা ভাবতে পারেন? আমি মনে করি আমি প্রথমে প্যারেন্ট ডোমেন ডিসিগুলিকে টার্গেট করতে পারতাম (শিশু ডিসিরা যেমন লেখকটি করেনি বলে মনে হয়)।

ব্যাখ্যা

[ repadminনীচে প্রতি ব্যবহারের পরে কারণটি শূন্যের পরে যুক্ত করা হয়েছে ]

এই অনুরোধের আসল কারণটি ছিল আমাদের আইটি সুরক্ষা টিমের কারণে, তারা কেন ভাবছিল যে আমরা কেন প্রায়শই নিয়মিতভাবে ডিফল্ট ডোমেন প্রশাসকের অ্যাকাউন্টে লগ ইন করছি।

আমরা জানতাম যে আমরা এটিতে লগ করছি না। দেখা যাচ্ছে যে "কার্বেরোস এস 4ইউ 2 এসফেল" নামে একটি ব্যবস্থা আছে যখন লোকাল সিস্টেম হিসাবে চলমান একটি কলিং প্রক্রিয়া কিছু সুবিধামুক্তি বৃদ্ধি করে চলেছে। এটি কোনও ডোমেন নিয়ন্ত্রকের প্রশাসক হিসাবে একটি নেটওয়ার্ক লগন (ইন্টারেক্টিভ নয়) করে। এটি অ-ইন্টারেক্টিভ হিসাবে, এই কারণেই lastLogonকোনও ডিসিতে অ্যাকাউন্টের জন্য কোনও নেই (এই অ্যাকাউন্টটি কোনও বর্তমান ডোমেন নিয়ামকটিতে কখনও প্রবেশ করা হয়নি)।

এই নিবন্ধটি ব্যাখ্যা করে যে জিনিসটি আপনার লগগুলিকে কেন বেঁধে রাখে এবং আপনার সুরক্ষা দলে বিড়ালছানা তৈরি করে দেয় (জিনিসগুলি আরও খারাপ করার জন্য উত্স মেশিনগুলি সার্ভার 2003)। এবং এটি কীভাবে ট্র্যাক করা যায়। https://blogs.technet.microsoft.com/askpfeplat/2014/04/13/how-lastlogontimestamp-is-updated-with-kerberos-s4u2self/

পাঠ শিখেছি - কেবল lastLogonপ্রশাসক লগনের বিষয়ে যখন এটি সম্পর্কিত হয় তখন আইটি সুরক্ষা দলগুলিতে বৈশিষ্ট্যগুলির প্রতিবেদন সরবরাহ করুন ।

repadmin /showobjmeta DCNAME "ObjectDN"  

উত্সাহী ডিএসএ দেখাবে।

উদাহরণ:

repadmin /showobjmeta CONTOSOMDDC1 "CN=Administrator,CN=Users,DC=contoso,DC=com"  

54 entries.
Loc.USN                           Originating DSA  Org.USN  Org.Time/Date        Ver Attribute
=======                           =============== ========= =============        === =========
4178442               CONTOSO-MDSite\CONTOSOMDDC1   4178442 2017-03-15 11:37:30   55 lastLogonTimestamp