AD Administrator帐户登录神秘-最后登录时间戳

Question

我们已经在LastLogonTimeStamp属性中找到了域管理员帐户--除了灾难恢复场景之外，我们不使用它--它有一个最近的日期。据我所知，没有人应该在这段时间内(以及几个月之后)使用这个帐户，但也许有些白痴已经将其配置为运行预定的任务。

由于安全日志事件的数量(以及缺乏用于分析的暹粒工具)，我想确定哪个DC有帐户的实际lastLogon时间(即不是复制的属性)，但是我已经查询了域中的每个DC，它们的lastLogon都是“无”的。

这是林中的子域，因此可能有人使用了这个子域管理员帐户来运行父域中的某个内容。

除了检查大约在LastLogonTimestamp中记录的16个森林DC可能发生的2000万事件之外，还有人能想到一种方法来确定哪个DC正在进行登录吗？我想我可以首先针对父域DCs (因为子DCs似乎没有完成auth)。

解释

在使用后对原因进行归零后添加repadmin如下所示

这个请求的最初原因是由于我们的IT安全团队，他们想知道我们为什么经常登录默认的域管理员帐户。

我们知道我们没有登录。结果发现，有一种名为"Kerberos S4u2Self“的机制，它是在本地系统运行的调用进程进行某些权限提升时使用的。它以管理员身份在域控制器上进行网络登录(而不是交互)。由于它是非交互式的，这就是为什么在任何DC上的帐户都没有lastLogon (这个帐户从未登录到任何当前域控制器)。

本文解释了为什么这个东西会调用您的日志，并使您的安全团队拥有更多的工具(源机器是Server 2003，这使事情变得更糟)。以及如何追踪它。https://blogs.technet.microsoft.com/askpfeplat/2014/04/13/how-lastlogontimestamp-is-updated-with-kerberos-s4u2self/

经验教训--仅在涉及管理员登录时向IT安全团队提供有关lastLogon属性的报告。

Answer 1

repadmin /showobjmeta DCNAME "ObjectDN"  

将显示原发DSA。

示例：

repadmin /showobjmeta CONTOSOMDDC1 "CN=Administrator,CN=Users,DC=contoso,DC=com"  

54 entries.
Loc.USN                           Originating DSA  Org.USN  Org.Time/Date        Ver Attribute
=======                           =============== ========= =============        === =========
4178442               CONTOSO-MDSite\CONTOSOMDDC1   4178442 2017-03-15 11:37:30   55 lastLogonTimestamp