扫描每台计算机上的安全事件日志,查找该用户帐户的login。
也许最简单的方法是在您的域控制器上启用成功的login审核,然后search您要查找的用户的日志。
情侣边注:
- 服务帐户应该有一些他们的名字的逻辑结构。 Microsoftbuild议使用Vendor $ Product $ Server格式。 因此,如果您在Server01上运行Acme的FooBar,则服务帐户名称应该是Acme $ FooBar $ Server01。
- 您应该跟踪所有的服务帐户,以及他们在哪里使用。 这可以很容易地成为一个简单的电子表格(Google Docs,LibreOffice,无论什么都是免费的)。 至less应该跟踪帐户名称,预期用途,上次密码更改以及使用它们的服务器/服务。
- 密码应该是非常复杂的,我使用KeePass生成32个字母的“goop”。 这样密码不需要经常改变。 更改密码可以防范一些事情,这些事情都不应该适用于具有良好密码的服务帐户。
- 您应该定期检查您的业务实践,以确保他们不会造成比他们的价值更多的麻烦。 实践应该是合理的,其中大部分是容易的。
术语:
- “服务帐户”是任何用户帐户,可以是“pipe理员”帐户或任何其他帐户,由自动login的进程(最常用的服务器上运行的服务,即名称)使用。
- 活动目录是保存用户帐户的系统,包括密码。 它不会以用户身份运行,帐户不会在“内部”使用。 这些帐户被其他程序使用。
- Windows没有“root”帐户。 有一个“pipe理员”帐户是在第一次configurationAD时设置的,但是在nix环境中“root”是特殊的。 这个“pipe理员”帐户可以在Windows中完全用相对容易的代替。
您扫描用户的日志(如上所述),或者,您也可以更改密码,并查看什么是中断。 查找审计失败和帐户locking比成功login更容易/更快,并且有一些MS工具可用于跟踪帐户locking以便引导 。