Jump to content

Mit Script aus dem AD auslesen an welchem PC Benutzer sich zueletzt am AD angemeldet haben


Recommended Posts

Moin,

 

Security Logs aller DCs nach Event 4624 durchsuchen und die Metadaten der Events auswerten. Damit das funktioniert, Auditing einschalten.

 

Alternativ: Auf allen Clients die C:\Users\*\NTUSER.DAT auflisten und den Zeitstempel auswerten.

  • Like 1
Link to post
vor 49 Minuten schrieb illuminaten:

ich bin auf der Suche nach einem Script

 

hmmm ... bitte nicht falsch verstehen, aber wo hast Du denn schon überall gesucht? Solche Fragen tauchen in den passenden Foren häufiger auf und wurden auch schon sehr häufig beantwortet.  Die generelle Vorgehensweise hat Dir Evgenij ja schon geschildert ...  ;-) 

Link to post

Moin,

 

und weil es sonst auch immer zu Recht betont wird: So eine Auswertung ist juristisch heikel und kann die Zustimmung von Betriebsrat, Mitarbeiter*in, ... erfordern. Lass dich im Zweifel beraten, wir dürfen es nicht.

 

Gruß, Nils

 

  • Like 1
Link to post

Senf dazu: Der Benutzer meldet sich nicht "am AD an", er authentifiziert sich nur dort. Und danach meldet er sich auch nicht am AD an, sondern da, wo er sich grad eben anmeldet. Wobei das technisch auch wieder falsch ist - er meldet sich nicht an (das gibt's in der Form nicht), sondern er startet eine Anmeldesitzung, weil er aufgrund der AD-Authentifizierung das Recht dazu hat. Und wenn dann noch Cached Credentials im Spiel sind, kriegt das AD noch nicht mal die Authentifizierung mit.

 

AD-Events sind für eine Protokollierung/Überwachung von Benutzeranmeldungen völlig ungeeignet... Und waren das auch immer.

 

(OT: Warum ich das schreibe? Weil diese Schnapsidee der AD-Events für Benutzeranmeldungen auch bei uns wieder durch's Unternehmen zieht und die "Profis" nicht verstehen, wie das eigentlich funktioniert)

Link to post
vor 10 Minuten schrieb daabm:

AD-Events sind für eine Protokollierung/Überwachung von Benutzeranmeldungen völlig ungeeignet... Und waren das auch immer.

Kommt auf die konkrete Fragestellung an. Auch Cached Credentials wurden ursprünglich gegen das AD bestätigt, wenn es ein AD-Account ist. Insofern, die Frage "wo hat sich User X jemals interaktiv angemeldet?" kann mit den Logs von den DCs sehr wohl  zufriedenstellend beantwortet werden. Die Frage "wo hat sich User X gestern interaktiv angemeldet?" kann natürlich nicht genau damit beantwortet werden, sofern Cached Credentials aktiv sind. Sie sind aber hoffentlich nicht aktiv auf: Servern, PAWs und idealerweise auf allen Geräten, die per LAN angeschlossen sind.

Link to post

Evgenij, sorry - cached Credentials werden nicht "im AD bestätigt". Anmelden, irgendwas machen, abmelden. Das taucht niemals im AD (bzw. genauer im Security Eventlog eines Domain Controllers) auf. Nur wenn während der Session wieder eine AD-Verbindung verfügbar wird... Aber ich bin ja nicht b***d, ich habe alle (W)LAN-Verbindungen vorher deaktiviert bzw. die VPN-Einwahl verhindert. Kein AD - kein Event.

 

vor 2 Minuten schrieb cj_berlin:

idealerweise auf allen Geräten, die per LAN angeschlossen sind.

Hehe - schöne Träume :-)

Link to post
Gerade eben schrieb daabm:

Evgenij, sorry - cached Credentials werden nicht "im AD bestätigt".

Ich meine, in dem Moment, wo sie gecached werden, bei der ersten Anmeldung nach dem letzten Passwortwechsel.

Link to post
vor 1 Minute schrieb daabm:

Hehe - schöne Träume :-)

Hah - ich habe sogar einen Kunden, der schriftlich definiert hat: "Offline-Arbeiten gibt es nicht". In aller Konsequenz gibt es dann AlwaysOn-VPN und keine Cached Credentials auf Notebooks, die 90% der Zeit draußen sind.

 

Aber so etwas ist in der Tat eher die Ausnahme. Ich bin da inzwischen bei der Ansicht angekommen, dass Modern Management ohne Domain-Mitgliedschaft der Clients plus Terminalserver/VDI zum produktiven Arbeiten das langfristig bessere Konzept ist als der "closely managed" Client...

Link to post
vor 1 Stunde schrieb cj_berlin:

Aber so etwas ist in der Tat eher die Ausnahme. Ich bin da inzwischen bei der Ansicht angekommen, dass Modern Management ohne Domain-Mitgliedschaft der Clients plus Terminalserver/VDI zum produktiven Arbeiten das langfristig bessere Konzept ist als der "closely managed" Client...

Aber auch nur, weil seit gefühlt 10 Jahren alle dahinarbeiten. ;) Wäre das anders, gäbs auch andere Lösungen.

Link to post

Moin,

 

vor 10 Stunden schrieb cj_berlin:

Kommt auf die konkrete Fragestellung an.

das ist doch eigentlich der springende Punkt. Ich habe mir die Frage an den TO diesmal verkniffen, aber bevor wir hier Details auseinanderdröseln, wäre das doch mal relevant.

 

Gruß, Nils

 

  • Like 1
Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...