Abgelehnter Benutzer zeigt die letzte Anmeldezeit an

Question

Abgelehnter Benutzer zeigt die letzte Anmeldezeit an

Wir haben einen Terminalserver, der über eine Active Directory-Gruppe auf bestimmte Benutzer beschränkt ist. Ein Benutzer hatte Zugriff, aber im März 2015 wurde ihm der Zugriff entzogen.

Wenn ich „Get-WmiObject -class Win32_NetworkLoginProfile | Select-Object Name,LastLogon“ in PowerShell ausführe, wird der Benutzer mit dem heutigen Datum und der heutigen Uhrzeit aufgelistet, aber er kann sich nicht anmelden.

Warum werden sie angezeigt? Bei anderen Benutzern, die das Unternehmen verlassen haben und entfernt wurden, wird der Zeitpunkt ihrer letzten Anmeldung angezeigt.

Okay, die Benutzer, die das Unternehmen verlassen haben, haben also den erwarteten LastLogonWert, wohingegen dieses „eingeschränkte“ (aber nicht entlassene) Konto des Mitarbeiters nicht den erwarteten Wert hat, wenn Sie den PowerShell-Befehl ausführen.

Wenn Sie den Get-WmiObject -class Win32_NetworkLoginProfileBefehl ausführen,Abfrage der Netzwerkanmeldedaten des BenutzersDies ist in der von Ihnen verwendeten Syntax nicht spezifisch für eine bestimmte Maschine oder einen bestimmten Server. Dies wäre also der Wert der letzten Anmeldung beim Netzwerk auf einem beliebigen Gerät mit diesem Konto.

Zum Vergleich führen Sie es NET USER /DOMAIN <Username>mit demselben Benutzernamen aus. Sie sehen für das Feld denselben Datums- und Zeitstempel Last Logonwie für die WMI-PowerShell-Befehle usw. in Ihrer Frage.

Dies erklärt, warum Sie dies für das eingeschränkte, aber nicht gekündigte Konto sehen, da sich dieses Konto wahrscheinlich bei anderen, der Domäne angehörenden Computern in Ihrer Umgebung anmeldet, wo dies bei den gekündigten Konten nicht der Fall ist.

Nachfolgend finden Sie eine verfeinerte Abfrage mit etwas mehr Spezifität für einebestimmtes Benutzerkontoauf einenbestimmter Server oder Computer.

PowerShell-Befehle (verfeinert)

# connecting to a remote machine using current identity:
$ComputerName = 'SomeServerNameOrIP'
$AccountName  = 'AccountNameToSearch'
Get-WMIObject -Class Win32_NetworkLoginProfile -ComputerName $ComputerName |
Where {$_.name -match $AccountName} | Select-Object Name,LastLogon,LogonServer

_{Quelle: Win32_NetworkLoginProfile}

Weitere Ressourcen

Win32_NetworkLoginProfile

Win32_NetworkLoginProfile

Die Klasse Win32_NetworkLoginProfile stellt die Netzwerkanmeldeinformationen eines bestimmten Benutzers auf einem Win32-System dar. Dazu gehören unter anderem Kennwortstatus, Zugriffsrechte, Datenträgerkontingente und Anmeldeverzeichnispfade.

Letzte Anmeldung

Datentyp DateTime

Die Eigenschaft LastLogon gibt das Datum und die Uhrzeit an, zu der sich der Benutzer zuletzt am System angemeldet hat. Dieser Wert wird aus der Anzahl der seit 00:00:00, 1. Januar 1970, verstrichenen Sekunden berechnet. Das Format dieses Wertes ist yyyymmddhhmmss.mmmmmm sutc. Beispiel: 19521201000230.000000 000

WMIC - NETLOGON

NETLOGIN - Network login information for a particular user.

Answer 1

Abgelehnter Benutzer zeigt die letzte Anmeldezeit an

Wir haben einen Terminalserver, der über eine Active Directory-Gruppe auf bestimmte Benutzer beschränkt ist. Ein Benutzer hatte Zugriff, aber im März 2015 wurde ihm der Zugriff entzogen.

Wenn ich „Get-WmiObject -class Win32_NetworkLoginProfile | Select-Object Name,LastLogon“ in PowerShell ausführe, wird der Benutzer mit dem heutigen Datum und der heutigen Uhrzeit aufgelistet, aber er kann sich nicht anmelden.

Warum werden sie angezeigt? Bei anderen Benutzern, die das Unternehmen verlassen haben und entfernt wurden, wird der Zeitpunkt ihrer letzten Anmeldung angezeigt.

Okay, die Benutzer, die das Unternehmen verlassen haben, haben also den erwarteten LastLogonWert, wohingegen dieses „eingeschränkte“ (aber nicht entlassene) Konto des Mitarbeiters nicht den erwarteten Wert hat, wenn Sie den PowerShell-Befehl ausführen.

Wenn Sie den Get-WmiObject -class Win32_NetworkLoginProfileBefehl ausführen,Abfrage der Netzwerkanmeldedaten des BenutzersDies ist in der von Ihnen verwendeten Syntax nicht spezifisch für eine bestimmte Maschine oder einen bestimmten Server. Dies wäre also der Wert der letzten Anmeldung beim Netzwerk auf einem beliebigen Gerät mit diesem Konto.

Zum Vergleich führen Sie es NET USER /DOMAIN <Username>mit demselben Benutzernamen aus. Sie sehen für das Feld denselben Datums- und Zeitstempel Last Logonwie für die WMI-PowerShell-Befehle usw. in Ihrer Frage.

Dies erklärt, warum Sie dies für das eingeschränkte, aber nicht gekündigte Konto sehen, da sich dieses Konto wahrscheinlich bei anderen, der Domäne angehörenden Computern in Ihrer Umgebung anmeldet, wo dies bei den gekündigten Konten nicht der Fall ist.

Nachfolgend finden Sie eine verfeinerte Abfrage mit etwas mehr Spezifität für einebestimmtes Benutzerkontoauf einenbestimmter Server oder Computer.

PowerShell-Befehle (verfeinert)

# connecting to a remote machine using current identity:
$ComputerName = 'SomeServerNameOrIP'
$AccountName  = 'AccountNameToSearch'
Get-WMIObject -Class Win32_NetworkLoginProfile -ComputerName $ComputerName |
Where {$_.name -match $AccountName} | Select-Object Name,LastLogon,LogonServer

_{Quelle: Win32_NetworkLoginProfile}

Weitere Ressourcen

Win32_NetworkLoginProfile

Win32_NetworkLoginProfile

Die Klasse Win32_NetworkLoginProfile stellt die Netzwerkanmeldeinformationen eines bestimmten Benutzers auf einem Win32-System dar. Dazu gehören unter anderem Kennwortstatus, Zugriffsrechte, Datenträgerkontingente und Anmeldeverzeichnispfade.

Letzte Anmeldung

Datentyp DateTime

Die Eigenschaft LastLogon gibt das Datum und die Uhrzeit an, zu der sich der Benutzer zuletzt am System angemeldet hat. Dieser Wert wird aus der Anzahl der seit 00:00:00, 1. Januar 1970, verstrichenen Sekunden berechnet. Das Format dieses Wertes ist yyyymmddhhmmss.mmmmmm sutc. Beispiel: 19521201000230.000000 000

WMIC - NETLOGON

NETLOGIN - Network login information for a particular user.

Abgelehnter Benutzer zeigt die letzte Anmeldezeit an

Antwort1

PowerShell-Befehle (verfeinert)

Weitere Ressourcen

verwandte Informationen