[Kazun]

DOMAIN - Заменить на NetBios имя своего домена

Код:

$filter = "*[System[EventID=4624] and (EventData[Data[@Name='LogonType']=2] or EventData[Data[@Name='LogonType']=10]) 
	and EventData[Data[@Name='TargetDomainName']='DOMAIN']]"
Get-ADComputer -Filter "Enabled -eq '$true' -and DnsHostName -like '*'" | Foreach {
	$event = $mail = $user = $null
	$event = Get-WinEvent -FilterXPath $filter -LogName Security -MaxEvent 1 -ComputerName $_.DnsHostName
	
	if($event) {
		$user = $event.Properties[5].Value
		if($user) {
			$mail = (Get-ADUser $user -Properties mail).mail
		}
	}
	
	[pscustomobject]@{
		ComputerName = $_.Name
		UserName = $user
		MailAddress = $mail
	}
}

[alexander_stepanov1]

я не совсем понял скрипт

тут мы задаем условие для поиска:
$filter = "*[System[EventID=4624] and (EventData[Data[@Name='LogonType']=2] or EventData[Data[@Name='LogonType']=10])
and EventData[Data[@Name='TargetDomainName']='DOMAIN']]"

здесь мы выводим список, исходя из нашего фильтра:
Get-ADComputer -Filter "Enabled -eq '$true' -and DnsHostName -like '*'" | Foreach {


а вот тут я понял не до конца, вы не могли бы пояснить
$event = $mail = $user = $null
$event = Get-WinEvent -FilterXPath $filter -LogName Security -MaxEvent 1 -ComputerName $_.DnsHostName

if($event) {
$user = $event.Properties[5].Value
if($user) {
$mail = (Get-ADUser $user -Properties mail).mail
}
}

и почему у нас именно такое условие поиска?

[Iska]

Цитата alexander_stepanov1:

здесь мы выводим список, исходя из нашего фильтра: Get-ADComputer -Filter "Enabled -eq '$true' -and DnsHostName -like '*'" | Foreach { »

Нет. «Здесь» мы получаем из AD перечень разрешённых машин. К «нашему фильтру» сие отношения пока не имеет.

Цитата alexander_stepanov1:

а вот тут я понял не до конца, вы не могли бы пояснить $event = $mail = $user = $null »

Аналогично:

Код:

$event = $null
$mail = $null
$user = $null

А вот тут:

Цитата alexander_stepanov1:

$event = Get-WinEvent -FilterXPath $filter -LogName Security -MaxEvent 1 -ComputerName $_.DnsHostName »

уже «наш фильтр» задействуется. Для каждой машины получаем из журнала безопасности последнее событие успешной регистрации пользователя, локально или посредством RDS.

Цитата alexander_stepanov1:

if($event) { $user = $event.Properties[5].Value if($user) { $mail = (Get-ADUser $user -Properties mail).mail } } »

Если таковое событие найдено, попытаться получить из его свойств имя пользователя. Если таковое получено, попытаться получить из AD его почту.

Цитата Kazun:

[pscustomobject]@{ ComputerName = $_.Name UserName = $user MailAddress = $mail } »

Оформить потребные свойства в пользовательский объект.

Повторить для каждой из полученного перечня машин.

Цитата alexander_stepanov1:

и почему у нас именно такое условие поиска? »

Потому, что это именно то условие, которое потребно. Базовые начала: 10 критически важных event ID для мониторинга / Блог компании Netwrix / Хабрахабр.

[alexander_stepanov1]

Благодарю всех за ответы)