Saya berharap bahwa di suatu tempat di Active Directory "logon terakhir dari [komputer]" ditulis / disimpan, atau ada log yang dapat saya parsing?
Tujuan ingin mengetahui PC terakhir yang masuk adalah untuk menawarkan dukungan jarak jauh melalui jaringan - pengguna kami jarang bepergian, tetapi saya ingin tahu bahwa apa pun yang saya konsultasi sedang memperbarui pagi itu (ketika mereka masuk , mungkin) minimal.
Saya juga mempertimbangkan skrip login yang menulis nama pengguna dan komputer ke lokasi yang dikenal yang dapat saya rujuk, tetapi beberapa pengguna kami tidak suka logout selama 15 hari sekaligus.
Jika ada solusi elegan yang menggunakan skrip login, sebutkan saja - tetapi jika itu terjadi hanya untuk membuka kunci stasiun, itu akan lebih baik!
Kami melakukan ini melalui skrip masuk yang memperbarui deskripsi objek komputer dalam AD.
Anda perlu melakukan delegasi kontrol khusus untuk memungkinkan "Pengguna yang Diotentikasi" untuk menulis properti deskripsi objek komputer dalam domain / s.
Setelah selesai, semua yang Anda butuhkan adalah skrip yang menghasilkan informasi apa pun yang Anda inginkan dan menulis properti ke objek komputer. Skrip ini kemudian ditetapkan sebagai skrip login melalui objek Kebijakan Grup yang ditautkan ke domain.
Kami menempatkan stempel waktu, nama pengguna, IP di bidang deskripsi. Stempel waktu lebih dulu karena memudahkan untuk melihat objek komputer "lama" dengan mengurutkan pada bidang deskripsi.
Inilah skrip yang saya tulis untuk ini jika Anda ingin menggunakannya sebagai titik awal:
sumber
Saya harus mencapai hasil yang sama karena alasan yang sama; entah bagaimana menentukan mesin dari mana pengguna tertentu masuk. Saya ingin tahu "sebelum fakta", dan tidak dapat mengubah skrip login pengguna seperti yang dibahas di atas.
Saya menggunakan PowerShell pada DC yang diautentikasi oleh pengguna untuk mengurai log peristiwa keamanan:
get-eventlog "Security" | where {$_.Message -like "*Username*" -AND "Source Network Address"} | export-csv C:\Temp\test.csv
Buka crack .csv dengan excel atau editor favorit Anda dan cari entri terbaru yang memperlihatkan Nama Akun (Nama Pengguna) dan Sumber Jaringan Alamat dalam acara yang sama.
Ini mungkin bukan solusi yang dapat diandalkan 100% (tergantung pada waktu sewa DHCP, dll.), Tetapi ini berhasil bagi saya.
sumber
Anda dapat mengaktifkan audit untuk acara masuk akun. Peristiwa ini (termasuk membuka kunci stasiun kerja) akan disimpan di log keamanan DC.
Ada juga alat pihak ketiga yang dapat mempermudah ini, seperti True Last Logon .
sumber
Saya hanya menulis nama pengguna (serta info lainnya, seperti tanggal dan waktu, beberapa versi program, dan sebagainya) ke dalam deskripsi komputer menggunakan skrip logon. Dengan cara itu saya dapat menarik semua info dari Pengguna AD & Komputer dengan cepat dan mudah, dan sebagai bonus ada cara yang baik untuk mengidentifikasi PC mana yang masih dalam AD belum digunakan dalam beberapa saat (dan karena itu kemungkinan besar mesin mati).
sumber
ThatGraemeGuy , terima kasih untuk skrip yang luar biasa! Saya harus menulis ulang di PowerShell, tetapi masih berfungsi.
sumber
Trik untuk mengetahui dengan pasti di mana pengguna terakhir masuk selain dari saran dari Adam adalah agregasi log. Jika Anda memiliki beberapa pengontrol domain, Anda harus memeriksa semuanya, atau memusatkan pencatatan Anda dan kemudian memeriksa satu log.
Beberapa, bahkan mungkin sebagian besar, alat pihak ketiga cukup pintar untuk menanyakan semua pengontrol domain. Tetapi jika Anda berpikir untuk menulis skrip untuk menguraikannya sendiri, saya tidak bisa berdebat cukup kuat untuk memusatkan log Anda.
sumber
Idealnya, Anda akan menangkap yang berikut ini untuk Tim CSIRT Anda untuk membantu dalam invstigations.
userid masuk dengan nama workstation alamat MAC alamat IP Date / timestamp tipe login (rdp, interfactive dll)
Kemudian buang itu ke dalam perintah sql ke dalam database yang mereka dapat query. Potongan-potongan dicatat di semua tempat, tetapi merekam ini menghemat waktu menarik data dari server DHCP / WINS dll ...
sumber
Satu-satunya cara untuk mendapatkan informasi terbaru adalah melalui pencarian log. Gunakan alat seperti Microsoft Operations Manager atau alat gratis seperti snare untuk menggabungkan log peristiwa menarik dari server ke tempat sentral (file teks normal atau database SQL) dan kemudian gunakan alat seperti logparser atau query SQL untuk menghasilkan laporan yang Anda inginkan.
untuk menemukan ID acara yang berbeda untuk acara yang berbeda, buka Ensiklopedia Log Acara
Beri tahu saya, jika Anda ingin mengikuti rute ini, saya dapat membantu Anda membuat kueri yang sesuai untuk logparser.
sumber
Jika Anda mencari referensi historis, Anda dapat mencoba alat pihak ke-3 seperti Logon Central dari Motivate Systems. Ini mencatat semua login pengguna Active Directory dan menyediakan antarmuka web untuk penambangan data. Ini juga mencakup beberapa grafik yang cukup bagus yang menerjemahkan statistik masuk ke penggunaan persen.
sumber
ind Login di AD
Sering kali kita perlu tahu apakah login tertentu adalah bagian dari grup pengguna iklan. Atau kadang-kadang kita perlu tahu grup AD dan ingin tahu siapa semua login itu.
Ada banyak cara berbeda untuk mencapai ini.
Saya ikuti langkah ini untuk membuat pintasan di desktop saya tempat saya dapat dengan mudah menemukan login Silakan ikuti proses sebagai
MULAI-> RUN -> rundll32 dsquery, OpenQueryWindow
Anda dapat menemukan semua AD yang menjadi bagian Anda, menggunakan ini.
Mulai-> Pengaturan-> Panel Kontrol -> Alat Administrator -> Direktori Aktif Pengguna dan Komputer Pilih Domain yang Anda inginkan untuk masuk, klik kanan domain itu dan pilih opsi "Temukan".
sumber
Saya akan menambahkan ini sebagai komentar untuk jawaban marcusjv di atas, tetapi saya tidak memiliki reputasi sehingga jawaban yang terpisah harus dilakukan:
Dalam ungkapan itu - DAN "Alamat Jaringan Sumber" akan selalu mengevaluasi ke TRUE
Saya pikir yang Anda butuhkan adalah: get-eventlog "Security" | di mana {$ .Message -like "* nama pengguna *" -AND $ .Message.contains ("Source Network Address")}
sumber