Reddit – sysadmin – forensIT – déplacement de profils d’un domaine à un autre….et les comptes continuent de se verrouiller sur l’ancien domaine

Alors récemment, nous avons utilisé forensIT (https://www.forensit.com/) pour déplacer les profils des postes de travail d’un ancien domaine à un nouveau domaine. J’ai en fait été très impressionné par ForensIT – le produit semble fonctionner très bien pour ce qu’il fait, et est un énorme gain de temps (je ne suis pas affilié à eux de quelque manière que ce soit).

Voici le problème – le nom d’utilisateur pour le compte d’utilisateur est le même pour les deux domaines, à la fois l’ancien et le nouveau – il doit rester ainsi. Lorsque nous passons de l’ancien domaine au nouveau, quelque chose sur la station de travail s’authentifie par rapport à l’ancien domaine, même si l’ordinateur est maintenant sur le nouveau domaine. Cela provoque un blocage de compte sur l’ancien domaine. Je dois noter que l’ordinateur est toujours sur un réseau qui peut accéder à l’ancien domaine, et a besoin de maintenir cette capacité.

C’est-à-dire : déplacer la station de travail du domaineA au domaineB avec le compte/profil jsmith. Une fois que la station de travail est sur le domaineB, nous voyons des tentatives de connexion et une demande d’authentification ldap sur le domaineA, même si rien ne devrait plus essayer de s’authentifier contre le domaineA.

Quelqu’un connaît un outil, ou un utilitaire, qui regarde une station de travail et surveille toute tentative d’utiliser ntlm ou ldap ? ou, d’ailleurs, tout outil qui surveille toute tentative avec tout protocole utilisé pour l’authentification du domaine ?

Nous avons essayé tous les outils de log AD/event viewer/log du contrôleur de domaine que nous pouvons trouver pour comprendre cela, mais je n’ai pas encore trouvé un outil qui regarde réellement la station de travail, et non le contrôleur de domaine, et surveille toute tentative d’authentification contre le domaine. Existe-t-il ?