Tenemos algunas computadoras que muchos empleados (más de 70 años) han usado a lo largo de los años. Los estoy actualizando y quiero transferir los usuarios más recientes. Solo los que se han registrado en el sistema en los últimos 3 meses.
Mirar la carpeta de usuarios y usar fechas modificadas es inexacto, algunas tienen un error de un año incluso si un usuario inició sesión ayer.
AD solo me dice el último usuario.
¿Cómo puedo determinar los usuarios que iniciaron sesión más recientemente?
Respuesta1
Si lo tiene habilitado: en el visor de eventos en el protocolo de seguridad, palabra clave Audit Success, inicio de sesión de categoría, ID 4624...
Puede habilitarlo usando el Editor de políticas de grupo local -> Configuración de la computadora -> Configuración de Windows -> Configuración de seguridad -> Políticas locales -> Política de auditoría. Debe habilitar "Auditar eventos de inicio de sesión".
Me gusta una lectura por lotes a través de PowerShell que pueda mostrarme una tabla, comoÉste.
Alternativamente, puede utilizar un script cmd que se inicie en cada inicio de sesión:
::Optional
@echo off
::Checks for folder and creats it if it doesnt exist
if not exist c:\Logs md c:\Logs
::checks the userinfo and writes it into the log file including time stamp
echo Logon: %date% %time:~0,5% %UserName% >> c:\Logs\History.txt
O podría utilizar una herramienta de terceros, por ejemploÉste