O usuário negado mostra o horário de logon recente

Question

O usuário negado mostra o horário de logon recente

Temos um servidor de terminal restrito a usuários específicos por meio de um grupo do Active Directory. Um usuário tinha acesso, mas em março de 2015 seu acesso foi removido.

Quando executo Get-WmiObject -class Win32_NetworkLoginProfile | Select-Object Name,LastLogon no PowerShell, esse usuário está listado com uma data e hora de hoje, mas o usuário não pode fazer login.

Por que eles apareceriam? Outros usuários que saíram da empresa e foram removidos mostram a última vez que fizeram login.

Ok, então os usuários que saíram da empresa têm o LastLogonvalor esperado onde esta conta "restrita" (mas não de funcionário demitido) não tem o valor esperado quando você executa o comando do PowerShell.

Quando você executa o Get-WmiObject -class Win32_NetworkLoginProfilecomando, isso éconsultando os valores de login de rede do usuárioque não é específico para uma máquina ou servidor específico na sintaxe que você está usando, então esse seria o valor do último logon na rede em qualquer dispositivo com essa conta.

Para comparar a execução NET USER /DOMAIN <Username>com o mesmo nome de usuário, você verá o mesmo carimbo de data e hora para o Last Logoncampo que os comandos do WMI PowerShell, etc.

Isso explica por que você vê isso para a conta restrita, mas não encerrada, já que essa conta provavelmente está fazendo login em outras máquinas ingressadas no domínio em seu ambiente, onde as contas encerradas não estão.

Abaixo está uma consulta refinada com um pouco mais de especificidade para umconta de usuário específicacom umdeterminado servidor ou máquina.

Comandos do PowerShell (refinados)

# connecting to a remote machine using current identity:
$ComputerName = 'SomeServerNameOrIP'
$AccountName  = 'AccountNameToSearch'
Get-WMIObject -Class Win32_NetworkLoginProfile -ComputerName $ComputerName |
Where {$_.name -match $AccountName} | Select-Object Name,LastLogon,LogonServer

_{Fonte: Win32_NetworkLoginProfile}

Recursos adicionais

Win32_NetworkLoginProfile

Win32_NetworkLoginProfile

A classe Win32_NetworkLoginProfile representa as informações de login de rede de um usuário específico em um sistema Win32. Isso inclui, entre outros, status de senha, privilégios de acesso, cotas de disco e caminhos de diretório de login.

Último logon

Tipo de dados DataHora

A propriedade LastLogon indica a data e hora em que o usuário fez logon pela última vez no sistema. Esse valor é calculado a partir do número de segundos decorridos desde 00:00:00 de 1º de janeiro de 1970. O formato desse valor é aaaammddhhmmss.mmmmmm sutc. Exemplo: 19521201000230.000000 000

WMIC - NETLOGON

NETLOGIN - Network login information for a particular user.

Answer 1

O usuário negado mostra o horário de logon recente

Temos um servidor de terminal restrito a usuários específicos por meio de um grupo do Active Directory. Um usuário tinha acesso, mas em março de 2015 seu acesso foi removido.

Quando executo Get-WmiObject -class Win32_NetworkLoginProfile | Select-Object Name,LastLogon no PowerShell, esse usuário está listado com uma data e hora de hoje, mas o usuário não pode fazer login.

Por que eles apareceriam? Outros usuários que saíram da empresa e foram removidos mostram a última vez que fizeram login.

Ok, então os usuários que saíram da empresa têm o LastLogonvalor esperado onde esta conta "restrita" (mas não de funcionário demitido) não tem o valor esperado quando você executa o comando do PowerShell.

Quando você executa o Get-WmiObject -class Win32_NetworkLoginProfilecomando, isso éconsultando os valores de login de rede do usuárioque não é específico para uma máquina ou servidor específico na sintaxe que você está usando, então esse seria o valor do último logon na rede em qualquer dispositivo com essa conta.

Para comparar a execução NET USER /DOMAIN <Username>com o mesmo nome de usuário, você verá o mesmo carimbo de data e hora para o Last Logoncampo que os comandos do WMI PowerShell, etc.

Isso explica por que você vê isso para a conta restrita, mas não encerrada, já que essa conta provavelmente está fazendo login em outras máquinas ingressadas no domínio em seu ambiente, onde as contas encerradas não estão.

Abaixo está uma consulta refinada com um pouco mais de especificidade para umconta de usuário específicacom umdeterminado servidor ou máquina.

Comandos do PowerShell (refinados)

# connecting to a remote machine using current identity:
$ComputerName = 'SomeServerNameOrIP'
$AccountName  = 'AccountNameToSearch'
Get-WMIObject -Class Win32_NetworkLoginProfile -ComputerName $ComputerName |
Where {$_.name -match $AccountName} | Select-Object Name,LastLogon,LogonServer

_{Fonte: Win32_NetworkLoginProfile}

Recursos adicionais

Win32_NetworkLoginProfile

Win32_NetworkLoginProfile

A classe Win32_NetworkLoginProfile representa as informações de login de rede de um usuário específico em um sistema Win32. Isso inclui, entre outros, status de senha, privilégios de acesso, cotas de disco e caminhos de diretório de login.

Último logon

Tipo de dados DataHora

A propriedade LastLogon indica a data e hora em que o usuário fez logon pela última vez no sistema. Esse valor é calculado a partir do número de segundos decorridos desde 00:00:00 de 1º de janeiro de 1970. O formato desse valor é aaaammddhhmmss.mmmmmm sutc. Exemplo: 19521201000230.000000 000

WMIC - NETLOGON

NETLOGIN - Network login information for a particular user.

O usuário negado mostra o horário de logon recente

Responder1

Comandos do PowerShell (refinados)

Recursos adicionais

informação relacionada