Me gustaría auditar los últimos inicios de sesión de un usuario; lamentablemente tenemos 10 controladores de dominio y ningún software de registro centralizado.
Mi pregunta es cuál es la mejor manera de solicitar los últimos 'n' eventos de inicio de sesión del usuario 'x'. Luego planeo realizar una $PS-Session para cada controlador de dominio y agregar todos los resultados.
Mi objetivo es determinar si su cuenta se ha conectado desde dispositivos/ubicaciones desconocidos.
Cualquier ayuda sería muy apreciada. Sospecho que tendré que hacer algo con Get-Eventlog y luego con un filtro.
Respuesta1
ADInfo Free Edition de cjwdev le brindará el último inicio de sesión y cierta información, pero no le brindará los últimos "n" eventos de inicio de sesión. Necesitaría recopilar los registros de seguridad de los DC de forma centralizada y luego analizarlos (normalmente con software de terceros, o SCOM, etc.) para informar sobre esto.
También puede usar una secuencia de comandos de inicio de sesión de GPO para que escriba detalles sobre el inicio de sesión en un recurso compartido oculto en algún lugar donde luego vaya y recopile los datos sobre el usuario, en qué computadora inició sesión, cuándo, etc. Puede hacer que cree archivos separados. para cada usuario y simplemente agréguelo a ese archivo específico cada vez (tal vez asígnele su nombre de inicio de sesión.txt)