Reddit – sysadmin – forensIT – profielen verplaatsen van het ene domein naar het andere….en accounts blijven blokkeren op het oude domein

De laatste tijd gebruiken we forensIT (https://www.forensit.com/) om profielen op werkstations van een oud domein naar een nieuw domein te verplaatsen. Ik ben eigenlijk erg onder de indruk van ForensIT – het product lijkt erg goed te werken voor wat het doet, en is een enorme tijdsbesparing (ik ben op geen enkele manier aan hen gelieerd).

Hier is het probleem – de gebruikersnaam voor de gebruikersaccount is voor beide domeinen hetzelfde, zowel voor het oude als het nieuwe domein – dat moet zo blijven. Wanneer we verhuizen van het oude domein naar het nieuwe domein, verifieert iets op het werkstation zich tegen het oude domein, ook al bevindt de computer zich nu in het nieuwe domein. Dit veroorzaakt een account lockout op het oude domein. Ik moet opmerken dat de computer nog steeds op een netwerk zit dat toegang heeft tot het oude domein, en die mogelijkheid moet behouden.

i.e.: verplaats het werkstation van domeinA naar domeinB met account/profiel jsmith. Zodra het werkstation op domeinB is, zien we verbindingspogingen en ldap-verificatieverzoeken op domeinA, ook al zou niets meer moeten proberen om zich te authenticeren tegen domeinA.

Weet iemand een tool, of hulpprogramma, dat naar een werkstation kijkt en elke poging om ntlm of ldap te gebruiken controleert? of wat dat betreft, een tool die elke poging controleert met elk protocol dat wordt gebruikt voor domein authenticatie?

We hebben elke AD log / event viewer / domein controller log tool geprobeerd die we konden vinden om dit uit te zoeken, maar ik heb nog geen tool gevonden die daadwerkelijk kijkt naar het werkstation, niet de domein controller, en controleert elke poging om zich te authenticeren tegen het domein. Bestaat dat?