Last Logon en Windows 2008
Desde SOX las empresas tienen la necesidad de controlar el último logon de los usuarios. En Windows 2000 active directory nos daba la la propiedad Last-Logon. En la misma quedaba registrado el último logon interactivo del usuario pero esta propiedad no se replicaba a otros domain controllers, por lo tanto teníamos que consultar cada DC en el dominio para saber el ultimo logon real de un usuario.
En Windows 2003 apareció una nueva propiedad llamada Last-Logon-TimeStamp, la misma se replica en un intervalo variable entre 9 y 14 días. Este rango está dado por un cálculo sencillo:
Hora Actual - msDS-LogonTimeSyncInterval
Donde msDS-LogonTimeSyncInterval puede ser un valor random de 1 a 5, pero si modificamos el valor a un número menor a 5 dejara de tomarse un valor random para realizar un cálculo fijo.
Las propiedades que mencionamos anteriormente intervenían para cualquier tipo de login, por lo que replicarlas constantemente representaría un incremento significativo en el tráfico de nuestro dominio.
A partir de Windows 2008 tenemos 4 nuevas propiedades que nos van a hacer el trabajo mucho más simple. Todas ellas se basan en el logon realizado de forma interactiva, es decir presionando Ctrl-Alt-Del.
msDS-LastSuccessfulInteractiveLogonTime :Ultimo login interactivo exitoso.
msDS-LastFailedInteractiveLogonTime: Ultimo login interactivo fallido.
msDS-FailedInteractiveLogonCount: Cantidad de logins interactivos erróneos desde que se habilito la propiedad.
msDS-FailedInteractiveLogonCountAtLastSuccessfulLogon: Cantidad de logins interactivos erróneos desde el ultimo login correcto
Para usar estas propiedades deberemos tener el dominio en modo funcional Windows 2008. Y adicionalmente habilitar 2 políticas de grupo.
Para comenzar a escribir estas propiedades en el AD deberemos configurar una GPO con la siguiente propiedad:
Computer Configuration\Administrative Templates\Windows Components\Windows Logon Options\Display information about previous logons during user logon = ENABLED
Y vincularla a los Domain Controllers.
Para que los usuarios reciban la información de la propiedad en sus equipos deberemos crear una segunda política y vincularla a las estaciones de trabajo o servidores que queramos que muestren la información durante el login interactivo. (Esta funcionalidad solo aplica a Windows Vista/2008 o superior)
Con todo esto aplicado empezaremos a recibir información sobre el login en nuestro dominio:
Veremos que una vez que iniciamos sesión las propiedades se comenzaran a llenar en nuestros usuarios
Asi como comenzaremos a recibir mensajes informativos durante el inicio de sesión
Espero les sea de utilidad.
Saludos