Gostaria de auditar os últimos logons de um usuário - infelizmente temos 10 controladores de domínio e nenhum software de registro centralizado.
Minha pergunta é qual é a melhor maneira de solicitar os últimos 'n' eventos de logon do usuário 'x'. Em seguida, pretendo fazer uma sessão $ PS para cada controlador de domínio e agregar todos os resultados.
Meu objetivo é determinar se a conta deles foi conectada ou não a partir de dispositivos/locais desconhecidos.
Qualquer ajuda seria muito apreciada. Suspeito que terei que fazer algo com Get-Eventlog e depois com um filtro?
Responder1
ADInfo Free Edition do cjwdev fornecerá o último logon e algumas informações, mas não os últimos "n" eventos de logon. Você precisaria coletar os logs de segurança dos DCs centralmente e depois analisá-los (normalmente com software de terceiros, ou SCOM, etc.) para relatar isso.
Você também pode usar um script de logon de GPO para que ele escreva detalhes sobre o logon em um compartilhamento oculto em algum lugar onde você vá e colete os dados sobre o usuário, em qual computador ele fez logon, quando, etc. para cada usuário e apenas anexar a esse arquivo específico a cada vez (talvez nomeie-o como seu nome de login.txt)