Ich möchte die letzten Anmeldungen eines Benutzers prüfen – leider haben wir 10 Domänencontroller und keine zentrale Protokollierungssoftware.
Meine Frage ist, wie ich am besten die letzten 'n' Anmeldeereignisse von Benutzer 'x' abfragen kann. Ich plane dann, eine $PS-Sitzung mit jedem Domänencontroller durchzuführen und alle Ergebnisse zu aggregieren.
Mein Ziel besteht darin, festzustellen, ob ihr Konto von unbekannten Geräten/Standorten aus eine Verbindung hergestellt hat oder nicht.
Für jede Hilfe wäre ich sehr dankbar. Ich vermute, ich muss etwas mit Get-Eventlog und dann einem Filter machen?
Antwort1
ADInfo Free Edition von cjwdev liefert Ihnen die letzte Anmeldung und einige Informationen, aber nicht die letzten „n“ Anmeldeereignisse. Sie müssten die Sicherheitsprotokolle der DCs zentral sammeln und sie dann analysieren (normalerweise mit Software von Drittanbietern oder SCOM usw.), um darüber zu berichten.
Sie können auch ein GPO-Anmeldeskript verwenden, um Details zur Anmeldung in eine versteckte Freigabe zu schreiben, wo Sie dann die Daten über den Benutzer sammeln, z. B. an welchem Computer er sich angemeldet hat, wann usw. Sie können für jeden Benutzer eine separate Datei erstellen lassen und jedes Mal einfach an diese bestimmte Datei anhängen (beispielsweise „Anmeldename.txt“).