El usuario denegado muestra la hora de inicio de sesión reciente

Question

El usuario denegado muestra la hora de inicio de sesión reciente

Tenemos un servidor de terminal que está restringido a usuarios específicos a través de un grupo de Active Directory. Un usuario tenía acceso, pero en marzo de 2015, se le eliminó el acceso.

Cuando ejecuto Get-WmiObject -class Win32_NetworkLoginProfile | Seleccione Nombre de objeto, LastLogon en PowerShell, ese usuario aparece con la fecha y hora de hoy, pero el usuario no puede iniciar sesión.

¿Por qué aparecerían? Otros usuarios que han abandonado la empresa y han sido eliminados, muestran la última vez que iniciaron sesión.

Bien, entonces los usuarios que abandonaron la empresa tienen el LastLogonvalor esperado mientras que esta cuenta "restringida" (pero no de empleado despedido) no tiene el valor esperado cuando ejecuta el comando PowerShell.

Cuando ejecutas el Get-WmiObject -class Win32_NetworkLoginProfilecomando, eso esConsultar los valores de inicio de sesión de red del usuario.que no es específico de una máquina o servidor en particular en la sintaxis que está utilizando, por lo que sería el valor del último inicio de sesión en la red en cualquier dispositivo con esa cuenta.

Para comparar, ejecute NET USER /DOMAIN <Username>con el mismo nombre de usuario y verá la misma marca de fecha y hora para el Last Logoncampo que los comandos WMI PowerShell, etc. en su pregunta.

Esto explica por qué ve esto, para la cuenta restringida, pero no cancelada, ya que es probable que esa cuenta esté iniciando sesión en otras máquinas unidas a un dominio en su entorno donde las cuentas canceladas no lo están.

A continuación se muestra una consulta refinada con un poco más de especificidad para uncuenta de usuario particularen unservidor o máquina en particular.

Comandos de PowerShell (refinados)

# connecting to a remote machine using current identity:
$ComputerName = 'SomeServerNameOrIP'
$AccountName  = 'AccountNameToSearch'
Get-WMIObject -Class Win32_NetworkLoginProfile -ComputerName $ComputerName |
Where {$_.name -match $AccountName} | Select-Object Name,LastLogon,LogonServer

_{Fuente: Win32_NetworkLoginProfile}

Recursos adicionales

Win32_NetworkLoginProfile

Win32_NetworkLoginProfile

La clase Win32_NetworkLoginProfile representa la información de inicio de sesión de red de un usuario particular en un sistema Win32. Esto incluye, entre otros, el estado de la contraseña, los privilegios de acceso, las cuotas de disco y las rutas del directorio de inicio de sesión.

Último inicio de sesión

Tipo de datos FechaHora

La propiedad LastLogon indica la fecha y hora en que el usuario inició sesión por última vez en el sistema. Este valor se calcula a partir del número de segundos transcurridos desde las 00:00:00 del 1 de enero de 1970. El formato de este valor es aaaammddhhmmss.mmmmmm sutc. Ejemplo: 19521201000230.000000 000

WMIC-NETLOGON

NETLOGIN - Network login information for a particular user.

Answer 1

El usuario denegado muestra la hora de inicio de sesión reciente

Tenemos un servidor de terminal que está restringido a usuarios específicos a través de un grupo de Active Directory. Un usuario tenía acceso, pero en marzo de 2015, se le eliminó el acceso.

Cuando ejecuto Get-WmiObject -class Win32_NetworkLoginProfile | Seleccione Nombre de objeto, LastLogon en PowerShell, ese usuario aparece con la fecha y hora de hoy, pero el usuario no puede iniciar sesión.

¿Por qué aparecerían? Otros usuarios que han abandonado la empresa y han sido eliminados, muestran la última vez que iniciaron sesión.

Bien, entonces los usuarios que abandonaron la empresa tienen el LastLogonvalor esperado mientras que esta cuenta "restringida" (pero no de empleado despedido) no tiene el valor esperado cuando ejecuta el comando PowerShell.

Cuando ejecutas el Get-WmiObject -class Win32_NetworkLoginProfilecomando, eso esConsultar los valores de inicio de sesión de red del usuario.que no es específico de una máquina o servidor en particular en la sintaxis que está utilizando, por lo que sería el valor del último inicio de sesión en la red en cualquier dispositivo con esa cuenta.

Para comparar, ejecute NET USER /DOMAIN <Username>con el mismo nombre de usuario y verá la misma marca de fecha y hora para el Last Logoncampo que los comandos WMI PowerShell, etc. en su pregunta.

Esto explica por qué ve esto, para la cuenta restringida, pero no cancelada, ya que es probable que esa cuenta esté iniciando sesión en otras máquinas unidas a un dominio en su entorno donde las cuentas canceladas no lo están.

A continuación se muestra una consulta refinada con un poco más de especificidad para uncuenta de usuario particularen unservidor o máquina en particular.

Comandos de PowerShell (refinados)

# connecting to a remote machine using current identity:
$ComputerName = 'SomeServerNameOrIP'
$AccountName  = 'AccountNameToSearch'
Get-WMIObject -Class Win32_NetworkLoginProfile -ComputerName $ComputerName |
Where {$_.name -match $AccountName} | Select-Object Name,LastLogon,LogonServer

_{Fuente: Win32_NetworkLoginProfile}

Recursos adicionales

Win32_NetworkLoginProfile

Win32_NetworkLoginProfile

La clase Win32_NetworkLoginProfile representa la información de inicio de sesión de red de un usuario particular en un sistema Win32. Esto incluye, entre otros, el estado de la contraseña, los privilegios de acceso, las cuotas de disco y las rutas del directorio de inicio de sesión.

Último inicio de sesión

Tipo de datos FechaHora

La propiedad LastLogon indica la fecha y hora en que el usuario inició sesión por última vez en el sistema. Este valor se calcula a partir del número de segundos transcurridos desde las 00:00:00 del 1 de enero de 1970. El formato de este valor es aaaammddhhmmss.mmmmmm sutc. Ejemplo: 19521201000230.000000 000

WMIC-NETLOGON

NETLOGIN - Network login information for a particular user.

El usuario denegado muestra la hora de inicio de sesión reciente

Respuesta1

Comandos de PowerShell (refinados)

Recursos adicionales

información relacionada