我可以使用SCOM 2007 R2来查看计算机上次从Active Directorylogin吗? 我有4个域控制器需要复制。
我知道我可以使用其他程序,如http://www.dovestones.com/products/True_Last_Logon.asp,但我想尽可能使用SCOM。
有两件事你可能正在寻找。 要获得任何Active Directory中的计算机帐户或用户帐户的确定答案,您需要轮询所有域控制器,并selectLastLogon报告的最新值,因为这是在DC之间从不复制的AD属性。 这是真正的最后login正在做什么。
对于计算机帐户,如果不需要绝对的准确性,您可以采取一些快捷方式 – 例如,如果您正在清理旧的和未使用的计算机帐户。 所有join计算机的AD都会每30天自动更改机器帐户密码(对于Windows Vista \ W2K8或更新版本,每7天更换一次)。 这意味着PasswordLastChanged属性将会定期修改一个活动的机器 – 这个属性被复制到所有的DC中,因此可以使用一个查询来计算出来。
对于用户帐户,这是不正确的,所以你必须查询所有DC的LastLogon。 如果您在Windows 2003或Windows 2008function级别上拥有较新的AD基础架构,则可以使用一些较新的属性来提供可能有用的替代方法。
在Server 2008function级别中运行时,以下对象属性可用:
msDS-LastSuccessfulInteractiveLogonTime msDS-LastFailedInteractiveLogonTime 这实际上并未默认打开 – 要启用它,您需要为您的域控制器所属的GPO启用以下内容。
Computer Configuration| Policies | Administrative Templates | Windows Components | Windows Logon Options | Display information about previous logons during user logon = Enabled
这篇Technet文章中有更多的信息。
在Server 2003function级别或更新版本中运行时,以下对象属性可用:
LastLogontimeStamp
不幸的是,LastLogonTimeStamp只是在9到19天之间随机变化的一个循环中被默认复制(以消除大型环境中的过量stream量),而且据我所知,不能改变为快于1天的任何事情。
在所有其他AD上,唯一相关的属性是前面提到的LastLogon 。 不幸的是,这是从不复制,所以如果你想使用它,你必须轮询你的域中的所有DC,然后从返回的值中select最近的login时间。