Reddit – rendszergazda – forensIT – profilok áthelyezése egyik tartományból a másikba….és a fiókok folyamatosan lezárulnak a régi tartományban

A közelmúltban a forensIT (https://www.forensit.com/) segítségével áthelyeztük a munkaállomások profiljait egy régi tartományból egy új tartományba. Igazából nagyon jó benyomást tett rám a ForensIT – a termék nagyon jól működik ahhoz képest, amit csinál, és hatalmas időmegtakarítást jelent (semmilyen módon nem állok kapcsolatban velük).

Itt a probléma – a felhasználói fiók felhasználóneve ugyanaz mindkét tartományban, mind a régi, mind az új tartományban – ennek így is kell maradnia. Amikor a régi tartományból átkerülünk az új tartományba, a munkaállomáson valami a régi tartomány ellen hitelesíti magát, annak ellenére, hogy a számítógép már az új tartományban van. Ez fiókzárlatot okoz a régi tartományban. Meg kell jegyeznem, hogy a számítógép még mindig egy olyan hálózaton van, amely képes elérni a régi tartományt, és ezt a képességet meg kell őriznie.

pl.: munkaállomás áthelyezése az A tartományból a B tartományba jsmith fiókkal/profillal. Amint a munkaállomás a domainB-n van, látjuk a kapcsolódási kísérleteket és az ldap hitelesítési kérelmet a domainA-n, annak ellenére, hogy semmi sem próbálkozhat többé a domainA-val szembeni hitelesítéssel.

Tud valaki olyan eszközt, vagy segédprogramot, amely megnézi a munkaállomást és figyeli az ntlm vagy az ldap használatának minden kísérletét?

Kipróbáltunk minden AD naplót/eseménynézegetőt/tartományvezérlő napló eszközt, amit csak találtunk, hogy ezt kitaláljuk, de még nem találtam olyan eszközt, amely valóban a munkaállomást nézi, nem a tartományvezérlőt, és figyeli a tartomány elleni hitelesítési kísérleteket. Létezik ilyen?