Reddit – sysadmin – forensIT – přesun profilů z jedné domény do druhé….a účty se na staré doméně stále zamykají

Nedávno jsme používali forensIT (https://www.forensit.com/) k přesunu profilů na pracovních stanicích ze staré domény do nové. ForensIT na mě skutečně udělal velký dojem – zdá se, že produkt funguje velmi dobře na to, co dělá, a je velkou úsporou času (nejsem s nimi nijak spojen).

Tady je problém – uživatelské jméno pro uživatelský účet je stejné pro obě domény, jak pro starou, tak pro novou – musí to tak zůstat. Když přejdeme ze staré domény do nové, něco na pracovní stanici se ověřuje proti staré doméně, přestože počítač je nyní v nové doméně. To způsobuje zablokování účtu ve staré doméně. Měl bych poznamenat, že počítač je stále v síti, která má přístup ke staré doméně, a potřebuje si tuto schopnost zachovat.

tj.: přesun pracovní stanice z doményA do doményB s účtem/profilem jsmith. Jakmile je pracovní stanice v doméněB, vidíme pokusy o připojení a požadavek na ověření ldap v doméněA, přestože by se již nic nemělo pokoušet o ověření proti doméněA.

Víte někdo o nějakém nástroji nebo utilitě, která se podívá na pracovní stanici a sleduje jakýkoli pokus o použití ntlm nebo ldap? Nebo, když na to přijde, nějaký nástroj, který monitoruje jakýkoli pokus s jakýmkoli protokolem používaným pro ověřování domény?

Vyzkoušeli jsme všechny nástroje pro prohlížení protokolů AD/událostí/logů řadiče domény, které jsme našli, abychom na to přišli, ale ještě jsem nenašel nástroj, který by se skutečně podíval na pracovní stanici, nikoli na řadič domény, a monitoroval jakýkoli pokus o ověření proti doméně. Existuje takový nástroj?