我想審核用戶的最後一次登入 - 不幸的是我們有 10 個網域控制器並且沒有集中式日誌記錄軟體。
我的問題是從用戶“x”請求最後“n”次登入事件的最佳方式是什麼。然後,我計劃對每個網域控制站執行 $PS-Session 並彙總所有結果。
我的目標是確定他們的帳戶是否已從未知設備/位置連接。
任何幫助將不勝感激。我懷疑我必須先用 Get-Eventlog 做一些事情,然後再做一個過濾器?
答案1
cjwdev 的 ADInfo 免費版將為您提供最後一次登入和一些信息,但不會為您提供最後的「n」次登入事件。您需要從 DC 集中收集安全性日誌,然後解析它們(通常使用第 3 方軟體或 SCOM 等)以報告此情況。
您還可以使用 GPO 登入腳本,讓它將登入詳細資訊寫入某處的隱藏共享,然後您可以收集有關用戶的資料、他們登入的電腦、登入時間等。個用戶,每次只需附加到該特定檔案(也許將其命名為他們的登入名稱.txt)