ユーザーの最終ログオンを監査したいのですが、残念ながらドメイン コントローラーが 10 個あり、集中ログ ソフトウェアがありません。
私の質問は、ユーザー「x」から最後の「n」回のログオン イベントを要求する最適な方法は何かということです。次に、各ドメイン コントローラーに対して $PS-Session を実行し、すべての結果を集計する予定です。
私の目標は、アカウントが不明なデバイス/場所から接続されたかどうかを判断することです。
どなたか助けていただければ幸いです。Get-Eventlog とフィルターを使って何かする必要があると思います。
答え1
cjwdev の ADInfo Free Edition では、最後のログオンといくつかの情報を取得できますが、最後の "n" 回のログオン イベントは取得できません。これを報告するには、DC からセキュリティ ログを集中的に収集し、解析する必要があります (通常はサード パーティ ソフトウェアまたは SCOM などを使用)。
GPO ログオン スクリプトを使用して、ログオンに関する詳細をどこかの隠し共有に書き込むこともできます。その後、その共有にアクセスして、ユーザーに関するデータ、ユーザーがログオンしたコンピューター、ログオンした日時などを集めます。ユーザーごとに個別のファイルを作成し、そのたびにその特定のファイルに追加することもできます (ログイン名.txt などと名前を付けます)。