Eu tenho uma lista de contas de serviço com as quais não estou familiarizado. Estou tentando descobrir a última vez que alguma coisa foi autenticada com essa conta antes de desativá-la ou removê-la. Existe uma maneira de fazer isso no Active Directory?
O mais próximo que você vai conseguir é o "lastLogonTimestamp" no objeto. Para descobrir de onde ele está efetuando login, você terá que analisar os logs de eventos de Segurança do Controlador de Domínio para procurar o evento de login e de onde ele veio.
Com o Powershell você pode colocar a lista de usuários em um arquivo chamado users.txt e tentar isto:
get-content d:\data\users.txt |get-aduser -properties lastlogontimestamp |foreach {
$ll = Get-Date -Date ([DateTime]::FromFileTime([Int64]::Parse($_.lastlogontimestamp))) -Format MM/dd/yyyy
write-host $_.name, $ll
}
E, caso você esteja procurando outras maneiras de consultar o atributo lastLogonTimeStamp, há uma ferramenta de linha de comando chamada CSVDE (CSV Directory Export) que é útil. O comando a seguir exibirá todos os usuários do Active Directory e seus atributos em um arquivo CSV. O comando tem parâmetros que também permitem filtrar e escolher atributos específicos para exportar.
csvde -f Users.csv -r "(ObjectClass=User)"
Tags active-directory