我想审核用户的最后login – 不幸的是,我们有10个域控制器,没有集中的日志logging软件。
我的问题是请求用户'x'的最后'n'login事件的最佳方式是什么。 然后,我打算为每个域控制器执行一个$ PS-Session并汇总所有结果。
我的目标是确定他们的帐户是否连接了未知设备/位置。
任何帮助将不胜感激。 我怀疑我将不得不采取Get-Eventlog,然后filter?
来自cjwdev的ADInfo免费版会让你上次login和一些信息,但不会得到你最后的“n”login事件。 您需要集中收集数据中心的安全日志,然后parsing(通常使用第三方软件或SCOM等)来报告。
您还可以使用GPOlogin脚本,将其login到某个隐藏共享的详细信息中,然后收集有关用户的数据,login到哪台计算机,何时等。您可以创build单独的文件为每个用户,每次只追加到该特定的文件(可能会命名为他们的loginname.txt)