Auditoria de Logon do AD para o Usuário

1

Gostaria de auditar os últimos logons de um usuário - infelizmente, temos 10 controladores de domínio e nenhum software de log centralizado.

Minha pergunta é qual é a melhor maneira de solicitar os últimos 'n' eventos de logon do usuário 'x'. Em seguida, planejo fazer uma sessão de $ PS para cada controlador de domínio e agregar todos os resultados.

Meu objetivo é determinar se a conta deles conectou ou não de dispositivos / locais desconhecidos.

Qualquer ajuda seria muito apreciada. Eu suspeito que terei que fazer algo com Get-Eventlog e depois um filtro?

    
por Abraxas 23.09.2015 / 23:17

1 resposta

1

ADInfo Free Edition do cjwdev vai te dar o último logon e algumas informações, mas não vai conseguir os últimos "n" eventos de logon. Você precisaria coletar os logs de segurança dos DCs centralmente e analisá-los (normalmente com software de terceiros, ou SCOM, etc.) para relatar isso.

Você também pode usar um script de logon do GPO para que ele grave detalhes sobre o logon em um compartilhamento oculto em algum lugar para coletar os dados sobre o usuário, em que computador eles fizeram logon, quando, etc. crie arquivos separados para cada usuário e apenas acrescente a esse arquivo específico a cada vez (talvez nomeie o seu nome de login.txt)

    
por 24.09.2015 / 15:02