Reddit – sysadmin – forensIT – mutarea profilurilor de pe un domeniu pe altul….și conturile continuă să se blocheze pe vechiul domeniu

De curând am folosit forensIT (https://www.forensit.com/) pentru a muta profilurile de pe stațiile de lucru de pe un domeniu vechi pe un domeniu nou. Am fost, de fapt, foarte impresionat de ForensIT – produsul pare să funcționeze foarte bine pentru ceea ce face și este un mare economizor de timp (nu sunt afiliat cu ei în nici un fel).

Iată care este problema – numele de utilizator pentru contul de utilizator este același pentru ambele domenii, atât pentru cel vechi, cât și pentru cel nou – trebuie să rămână așa. Când ne mutăm de la vechiul domeniu la noul domeniu, ceva de pe stația de lucru se autentifică față de vechiul domeniu, chiar dacă computerul este acum pe noul domeniu. Acest lucru cauzează o blocare a contului pe vechiul domeniu. Trebuie să menționez că computerul se află încă într-o rețea care poate accesa vechiul domeniu și trebuie să mențină această capacitate.

i.e.: mutați stația de lucru din domeniulA în domeniulB cu contul/profilul jsmith. Odată ce stația de lucru se află pe domeniulB, vedem încercări de conectare și cerere de autentificare ldap pe domeniulA, chiar dacă nimic nu ar trebui să mai încerce să se autentifice față de domeniulA.

Cunoaște cineva un instrument, sau un utilitar, care se uită la o stație de lucru și monitorizează orice încercare de a utiliza ntlm sau ldap? sau, de fapt, orice instrument care monitorizează orice încercare cu orice protocol utilizat pentru autentificarea domeniului?

Am încercat toate instrumentele de jurnal AD / vizualizator de evenimente / jurnal de controler de domeniu pe care le putem găsi pentru a ne da seama de acest lucru, dar încă nu am găsit un instrument care să se uite efectiv la stația de lucru, nu la controlerul de domeniu, și să monitorizeze orice încercare de autentificare față de domeniu. Există așa ceva?