PowerShell - Get-ADUser + GetADComputer

Ageron · Отправлено: **17:58, 23-08-2019** | #2

Цитата nick348:

Или все-таки надо парсить журнал security DC надо парсить? »

да

Скрытый текст

Цитата nick348:

Догадываюсь что Get-ADUser и GetADComputer должны быть как-то связаны кроме description, но не могу понять как. »

для чего нужна связь?
это 2 разных объекта

nick348 · Отправлено: **12:23, 25-08-2019** | #3

"для чего нужна связь?
это 2 разных объекта"

я же вроде внятно написал для чего.

Я знаю доменную учетку юзера, мне надо найти комп на которым он логинился (или несколько, сколько раз, с каким успехом и т.д,) за последнюю неделю и не хочу при этом лезть на DC.

Парсинг жкрнала DC не подходит, так как нужны права админа AD и он будет занимать длительное время.

Ageron · Отправлено: **09:00, 26-08-2019** | #4

Цитата nick348:

Я знаю доменную учетку юзера, мне надо найти комп на которым он логинился (или несколько, сколько раз, с каким успехом и т.д,) за последнюю неделю и не хочу при этом лезть на DC. »

эти данные есть только в журнале

Цитата nick348:

Парсинг жкрнала DC не подходит, так как нужны права админа AD и он будет занимать длительное время. »

делегируйте права на доступ к журналу необходимому пользователю
или выгружайте журналы в отдельную папку с необходимым доступом

можно делать анализ ночью и высылать отчет по почте, всех неудачных попыток

для анализа где кто зашел в текущий момент, много вариантов...
для получение истории, только анализ журнала.

Charg · Конфигурация компьютера

nick348, это клёво что тебе надо, но в структуре Active Directory никакой связи между объектами "компьютер" и "пользователь" - нет.

Elven · Отправлено: **10:47, 26-08-2019** | #6

Charg, ну не то чтобы совсем нет... Можно пользователю разрешить логиниться только на определенных компьютерах, и вопрос решен. Информация о том куда логинился, конечно, будет только в секурицу логе, если не использовать какие-нибудь логон скрипты пишущие кто-куда логинился.
вот так например:

Код:

$env:USERNAME + ' ' + (Get-Date) | Out-File  $env:COMPUTERNAME -Append

или точно так же, но на шару какую-нибудь, или местами поменять имя пользователя и имя компа, разумеется это не настолько круто как выдирать из лога, но вполне себе рабочий вариант, работу назад такую фигню по просьбе безопасников делал.

nick348 · Отправлено: **11:55, 26-08-2019** | #7

А без GPO?

Charg · Конфигурация компьютера

Цитата Elven:

ну не то чтобы совсем нет... Можно пользователю разрешить логиниться только на определенных компьютерах »

Можно то можно, но это аттрибут объекта "пользователь", к объекту "компьютер" отношения не имеет.

Elven · Отправлено: **12:29, 26-08-2019** | #9

Charg, я имел ввиду тот факт, что при наличии такой настройки не придется собирать данные
nick348, без GPO только колупательство в security, например так:

Код:

Get-WinEvent -FilterHashtable @{LogName=”Security”;Id=4624} | ForEach-Object {write-host $_.properties[1].value $_.properties[5].value $_.TimeCreated}

nick348 · Отправлено: **14:20, 26-08-2019** | #10

А без GPO?