Est-il possible d'obtenir la date de la dernière connexion d'un utilisateur à AD si cet utilisateur a été supprimé?

1

Après les très bonnes explications de STTR sur la manière d’obtenir les dates de la dernière connexion des utilisateurs AD existants (y compris les personnes handicapées) et sur la manière de récupérer la liste des utilisateurs supprimés, il reste une question.

À condition que les journaux soient conservés suffisamment longtemps, est-il possible d'obtenir la date à laquelle un utilisateur supprimé particulier s'est connecté à AD pour la dernière fois? Comment?

ZygD
la source
Si vous ne trouvez pas la valeur utilisateur lastLogon( ldifde -u -x -f <fileName.txt>), vous pouvez procéder de deux manières. 1. Security Eventlog sur le serveur. 2. Journal des événements de sécurité sur les postes de travail et les profils utilisateur sur les postes de travail lors de la modification de NTUSER.DAT.LOG NTUSER.DAT et donner des informations sur la dernière entrée du poste de travail.Si possible, donnez la version et le service pack du système d'exploitation du serveur. wmic os get caption, CSDVersionPour différentes versions de système d'exploitation disponibles dans différents outils d'administration. De plus, qu'en pensez-vous l'entrée? Interactif, un réseau ou un travail?
STTR
En variante - Journal RRAS et SMTP, et journal du serveur proxy.
STTR

Réponses:

1

Si vous utilisez le niveau fonctionnel de domaine 2008 et que la corbeille Active Directory est activée, cette commande powershell fonctionnera pour les comptes supprimés au cours des 6 derniers mois:

[datetime]::FromFileTime((Get-ADObject -Filter {SamAccountName -like "joeuser"} –IncludeDeletedObjects -prop *).lastLogonTimestamp)

Remplacez le nom d'utilisateur par joeuser

Zach Bolinger
la source
Je devrai le vérifier un jour, mais j'aime bien ce que je vois :)
ZygD