Vamos a ejecutar el siguiente comando: repadmin /showobjmeta "nombreServidor" "DN del objeto"
Del output nos importan los siguientes detalles:
Type Attribute Last Mod Time Originating DC Loc.USN Org.USN Ver ======= ============ ============= ================= ======= ======= ===
Distinguished Name =============================
PRESENT member 2010-01-27 20:20:02 daemonrootHQ\GURU-DC015 276715089 277715102 1 CN=ruffo.ee,OU=domainUsers,DC=daemonroot,DC=com
PRESENT member 2010-01-13 19:49:39 daemonrootHQ\GURU-DC007 273577311 337396944 11 CN=porchak.ml,OU=domainUsers,DC=daemonroot,DC=com
PRESENT member 2010-01-13 19:46:32 daemonrootHQ\GURU-DC007 273576011 337394983 11 CN=mcclenaghan.da,OU=domainUsers,DC=daemonroot,DC=com
ABSENT member 2010-01-05 15:58:36 daemonrootHQ\GURU-DC016 271672373 271672373 2 CN=perce.kh,OU=domainUsers,DC=daemonroot,DC=com
ABSENT member 2009-12-22 17:50:00 daemonrootHQ\GURU-DC016 268903788 268903788 6 CN=mcfarland.j,OU=domainUsers,DC=daemonroot,DC=com
PRESENT member 2010-01-13 19:42:08 daemonrootHQ\GURU-DC007 273573792 337391465 11 CN=gryfe.b,OU=domainUsers,DC=daemonroot,DC=com
Aquellas líneas marcadas como “ABSENT” se refieren a un vínculo borrado, un vínculo del miembro hacia el grupo, el tema es que las membresías se manejan en los grupos, lo que vemos en los objetos tipo user o computer es solo "un reflejo" o back list del atributo real.
Entonces acá podemos saber cuáles membresías fueron/están borradas y también la fecha e inclusive el nombre del controlador en que realizo la transacción :)
Para referencia acá esta la última versión del documento de la herramienta repadmin http://www.microsoft.com/downloads/details.aspx?FamilyID=c6054092-ee1e-4b57-b175-5aabde591c5f&displayLang=en
Y para los que ya dieron el salto a Windows Server 2008 pues también pueden usar el grandioso auditpol.exe http://support.microsoft.com/default.aspx/kb/921469?p=1
Saludos!
No comments:
Post a Comment