Reddit – sysadmin – forensIT – Verschieben von Profilen von einer Domäne in eine andere….und Konten werden auf der alten Domäne gesperrt

So haben wir kürzlich forensIT (https://www.forensit.com/) verwendet, um Profile auf Arbeitsstationen von einer alten Domäne in eine neue Domäne zu verschieben. Ich bin von ForensIT sehr beeindruckt – das Produkt scheint für seine Zwecke sehr gut zu funktionieren und spart viel Zeit (ich stehe in keiner Verbindung zu ForensIT).

Das Problem ist, dass der Benutzername für das Benutzerkonto in beiden Domänen derselbe ist, sowohl in der alten als auch in der neuen – das muss auch so bleiben. Wenn wir von der alten Domäne in die neue Domäne wechseln, authentifiziert sich etwas auf der Arbeitsstation gegenüber der alten Domäne, obwohl der Computer jetzt in der neuen Domäne ist. Dies führt zu einer Kontosperrung in der alten Domäne. Ich sollte anmerken, dass sich der Computer immer noch in einem Netzwerk befindet, das auf die alte Domäne zugreifen kann, und diese Fähigkeit beibehalten muss.

Das heißt: Verschieben der Workstation von DomäneA nach DomäneB mit dem Konto/Profil jsmith. Sobald die Workstation in DomäneB ist, sehen wir Verbindungsversuche und ldap-Authentifizierungsanfragen in DomäneA, obwohl nichts mehr versuchen sollte, sich gegenüber DomäneA zu authentifizieren.

Kennt jemand ein Tool oder Dienstprogramm, das eine Workstation betrachtet und jeden Versuch, ntlm oder ldap zu verwenden, überwacht?

Wir haben jedes AD-Protokoll/Ereignisanzeige/Domänencontroller-Protokolltool ausprobiert, das wir finden konnten, um dies herauszufinden, aber ich habe noch kein Tool gefunden, das tatsächlich die Workstation und nicht den Domänencontroller betrachtet und jeden Versuch der Authentifizierung gegenüber der Domäne überwacht. Gibt es so etwas?