Jump to content

Mit Script aus dem AD auslesen an welchem PC Benutzer sich zueletzt am AD angemeldet haben

illuminaten

Von illuminaten
in Active Directory Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

cj_berlin Veteran

cj_berlin   1.508

Geschrieben
Geschrieben

Moin,

 

Security Logs aller DCs nach Event 4624 durchsuchen und die Metadaten der Events auswerten. Damit das funktioniert, Auditing einschalten.

 

Alternativ: Auf allen Clients die C:\Users\*\NTUSER.DAT auflisten und den Zeitstempel auswerten.

  • Like 1
BOfH_666 Veteran

BOfH_666   586

Geschrieben
Geschrieben
vor 49 Minuten schrieb illuminaten:

ich bin auf der Suche nach einem Script

 

hmmm ... bitte nicht falsch verstehen, aber wo hast Du denn schon überall gesucht? Solche Fragen tauchen in den passenden Foren häufiger auf und wurden auch schon sehr häufig beantwortet.  Die generelle Vorgehensweise hat Dir Evgenij ja schon geschildert ...  ;-) 

NilsK Grand Master

NilsK   3.046

Geschrieben
Geschrieben

Moin,

 

und weil es sonst auch immer zu Recht betont wird: So eine Auswertung ist juristisch heikel und kann die Zustimmung von Betriebsrat, Mitarbeiter*in, ... erfordern. Lass dich im Zweifel beraten, wir dürfen es nicht.

 

Gruß, Nils

 

  • Like 1
daabm Grand Master

daabm   1.431

Geschrieben
Geschrieben

Senf dazu: Der Benutzer meldet sich nicht "am AD an", er authentifiziert sich nur dort. Und danach meldet er sich auch nicht am AD an, sondern da, wo er sich grad eben anmeldet. Wobei das technisch auch wieder falsch ist - er meldet sich nicht an (das gibt's in der Form nicht), sondern er startet eine Anmeldesitzung, weil er aufgrund der AD-Authentifizierung das Recht dazu hat. Und wenn dann noch Cached Credentials im Spiel sind, kriegt das AD noch nicht mal die Authentifizierung mit.

 

AD-Events sind für eine Protokollierung/Überwachung von Benutzeranmeldungen völlig ungeeignet... Und waren das auch immer.

 

(OT: Warum ich das schreibe? Weil diese Schnapsidee der AD-Events für Benutzeranmeldungen auch bei uns wieder durch's Unternehmen zieht und die "Profis" nicht verstehen, wie das eigentlich funktioniert)

cj_berlin Veteran

cj_berlin   1.508

Geschrieben
Geschrieben
vor 10 Minuten schrieb daabm:

AD-Events sind für eine Protokollierung/Überwachung von Benutzeranmeldungen völlig ungeeignet... Und waren das auch immer.

Kommt auf die konkrete Fragestellung an. Auch Cached Credentials wurden ursprünglich gegen das AD bestätigt, wenn es ein AD-Account ist. Insofern, die Frage "wo hat sich User X jemals interaktiv angemeldet?" kann mit den Logs von den DCs sehr wohl  zufriedenstellend beantwortet werden. Die Frage "wo hat sich User X gestern interaktiv angemeldet?" kann natürlich nicht genau damit beantwortet werden, sofern Cached Credentials aktiv sind. Sie sind aber hoffentlich nicht aktiv auf: Servern, PAWs und idealerweise auf allen Geräten, die per LAN angeschlossen sind.

daabm Grand Master

daabm   1.431

Geschrieben
Geschrieben

Evgenij, sorry - cached Credentials werden nicht "im AD bestätigt". Anmelden, irgendwas machen, abmelden. Das taucht niemals im AD (bzw. genauer im Security Eventlog eines Domain Controllers) auf. Nur wenn während der Session wieder eine AD-Verbindung verfügbar wird... Aber ich bin ja nicht b***d, ich habe alle (W)LAN-Verbindungen vorher deaktiviert bzw. die VPN-Einwahl verhindert. Kein AD - kein Event.

 

vor 2 Minuten schrieb cj_berlin:

idealerweise auf allen Geräten, die per LAN angeschlossen sind.

Hehe - schöne Träume :-)

cj_berlin Veteran

cj_berlin   1.508

Geschrieben
Geschrieben
vor 1 Minute schrieb daabm:

Hehe - schöne Träume :-)

Hah - ich habe sogar einen Kunden, der schriftlich definiert hat: "Offline-Arbeiten gibt es nicht". In aller Konsequenz gibt es dann AlwaysOn-VPN und keine Cached Credentials auf Notebooks, die 90% der Zeit draußen sind.

 

Aber so etwas ist in der Tat eher die Ausnahme. Ich bin da inzwischen bei der Ansicht angekommen, dass Modern Management ohne Domain-Mitgliedschaft der Clients plus Terminalserver/VDI zum produktiven Arbeiten das langfristig bessere Konzept ist als der "closely managed" Client...

NorbertFe Grand Master

NorbertFe   2.283

Geschrieben
Geschrieben
vor 1 Stunde schrieb cj_berlin:

Aber so etwas ist in der Tat eher die Ausnahme. Ich bin da inzwischen bei der Ansicht angekommen, dass Modern Management ohne Domain-Mitgliedschaft der Clients plus Terminalserver/VDI zum produktiven Arbeiten das langfristig bessere Konzept ist als der "closely managed" Client...

Aber auch nur, weil seit gefühlt 10 Jahren alle dahinarbeiten. ;) Wäre das anders, gäbs auch andere Lösungen.

NilsK Grand Master

NilsK   3.046

Geschrieben
Geschrieben

Moin,

 

vor 10 Stunden schrieb cj_berlin:

Kommt auf die konkrete Fragestellung an.

das ist doch eigentlich der springende Punkt. Ich habe mir die Frage an den TO diesmal verkniffen, aber bevor wir hier Details auseinanderdröseln, wäre das doch mal relevant.

 

Gruß, Nils

 

  • Like 1
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde dich hier an.

Jetzt anmelden
Zurück zur Übersicht


×
×
  • Neu erstellen...