Thời gian lưu trữ nhật ký mặc định trong máy chủ bộ điều khiển miền AD là gì?

Tôi không có cái này với tôi để kiểm tra, vì tôi không phải là quản trị viên hệ điều hành. Tôi cho rằng có một số thời gian mặc định được đặt trong Active Directory (AD) để lưu trữ nhật ký. Tôi đặc biệt quan tâm đến nhật ký lưu trữ đăng nhập / lưu trữ của người dùng. Tôi sẽ cần kiểm tra các nhật ký này, vì một số người dùng AD đã bị xóa, nhưng tôi phải tìm ra lần cuối cùng khi họ thực sự đăng nhập vào hệ thống.

Cài đặt trọn đời Tombstone (ngày):

• Windows 2000 hoặc Windows Server 2003 RTM: 60
• Máy chủ 2003 SP1: 180
• Máy chủ 2003 R2: 60 hoặc 180
• Máy chủ 2003 SP2, Máy chủ 2003 R2 SP2 và sau này: 180
• Windows Server 2008 trở lên 180

Xác định cài đặt trọn đời Tombstone trọn đời của hệ thống thực tế:

dsquery * "cn=directory service,cn=windows nt,cn=services,cn=configuration,dc=<FQDN>" -scope base -attr tombstonelifetime

Bắt các đối tượng bị xóa:

Ldifde -u -x -f <FileName.txt>

_{-u Sử dụng định dạng Unicode
-x Bao gồm các đối tượng bị xóa (bia mộ)}

Để tìm người dùng đã xóa:

• bên trong <FileName.txt> tìm kiếm \0ADEL chuỗi hoặc CN=Deleted Objects.
• hoặc sử dụng GUI: sử dụng ldp.exe và tìm kiếm CN=Deleted Objects.

Lấy Tên người dùng và dấu thời gian của người dùng KHÔNG bị xóa:

  dsquery * -limit 0 -filter "&(objectClass=User)(objectCategory=Person)" -attr sAMAccountName lastlogontimestamp

Nếu cần thêm dữ liệu, hãy sử dụng -attr *.

Để chuyển đổi dấu thời gian nhận được thành ngày, hãy sử dụng:

w32tm /ntte 130722669980039000

Đầu ra:

151299 09:16:38.0039000 - 31.03.2015 12:16:38 (local time)