Я хотел бы провести аудит последних входов пользователя в систему. К сожалению, у нас 10 контроллеров домена и нет централизованного программного обеспечения для ведения журналов.
Мой вопрос в том, какой лучший способ запросить последние 'n' событий входа от пользователя 'x'. Затем я планирую сделать $PS-Session для каждого контроллера домена и объединить все результаты.
Моя цель — определить, подключался ли их аккаунт с неизвестных устройств/мест.
Любая помощь будет высоко оценена. Подозреваю, что мне придется что-то сделать с Get-Eventlog, а затем с фильтром?
решение1
ADInfo Free Edition от cjwdev даст вам последний вход в систему и некоторую информацию, но не даст вам последние "n" событий входа. Вам нужно будет централизованно собирать журналы безопасности с контроллеров домена, а затем анализировать их (обычно с помощью стороннего программного обеспечения или SCOM и т. д.), чтобы сообщить об этом.
Вы также можете использовать сценарий входа в систему GPO, чтобы он записывал сведения о входе в систему в скрытый общий ресурс, куда вы затем переходите и собираете данные о пользователе, на каком компьютере он вошел в систему, когда и т. д. Вы можете создать отдельные файлы для каждого пользователя и просто добавлять данные в этот конкретный файл каждый раз (например, назвать его имя входа.txt).