Каково время хранения журналов по умолчанию на сервере контроллера домена AD?

У меня нет этого со мной, чтобы проверить, так как я не администратор ОС. Я полагаю, что в хранилище журналов есть Active Directory (AD), установленное по умолчанию. Меня особенно интересуют журналы для регистрации пользователей в / из хранилища. Мне нужно было бы проверить эти журналы, поскольку некоторые пользователи AD были удалены, но я должен узнать последний раз, когда они действительно вошли в систему.

Default Tombstone Lifetime Settings (дни):

  • Windows 2000 или Windows Server 2003 RTM: 60
  • Сервер 2003 SP1: 180
  • Сервер 2003 R2: 60 или 180
  • Сервер 2003 SP2, Server 2003 R2 SP2 и последующие: 180
  • Windows Server 2008 и выше 180

Определение фактического времени жизни облачной системы:

dsquery * "cn=directory service,cn=windows nt,cn=services,cn=configuration,dc=<FQDN>" -scope base -attr tombstonelifetime 

Получение удаленных объектов:

 Ldifde -u -x -f <FileName.txt> 

-u Использовать формат Unicode
-x Включить удаленные объекты (надгробные плиты)

Чтобы найти удаленных пользователей:

  • В <FileName.txt> \0ADEL строку \0ADEL или CN=Deleted Objects .
  • Или используйте GUI: используйте ldp.exe и найдите CN=Deleted Objects .

Получение UserName и отметки времени NOT удаленных пользователей:

  dsquery * -limit 0 -filter "&(objectClass=User)(objectCategory=Person)" -attr sAMAccountName lastlogontimestamp 

Если требуется больше данных, используйте -attr * .

Чтобы преобразовать полученную временную метку на сегодняшний день, используйте это:

 w32tm /ntte 130722669980039000 

Вывод:

 151299 09:16:38.0039000 - 31.03.2015 12:16:38 (local time) 
Давайте будем гением компьютера.