Last Logon / Last Password change

[xcooldj 10]

Hallo,

 

ich möchte gerne sehen wann sich eib user das letzte mal angemeldet hat bzw. wie alt sein kennwort ist. -> Wie mache ich das? Ich hatte mal was gelesen das es mit einem Script geht was auf dem iis läuft. Nur wie???

 

Gruß Tino

[robotto7831a 10]

Eine Möglichkeit ist in der DOS Box.

 

net user <username> /domain

 

Frank

[blub 115]

unter xphome ist das nicht möglich

[rakli 13]

Hallo xcooldj,

 

Mit der Erweiterung additon acount info im Snap-In "Active Directory Benutzer- und Computer" bekommt Du diese Infos.

 

siehe:

http://www.mcseboard.de/windows-forum-allgemein-28/suche-snap-sid-history-99850.html

 

Gruss Rakli

[xcooldj 10]

Hallo,

 

danke für die Infos. Gibt es eine Möglichkeit die Informationen über ein script im iis auszulesen? Ich möchte nicht immer auf dem server danach sehen.

 

Gruß Tino

[phoenixcp 10]

Alles was du aus der ADS auslesen kannst, kannst du auch per Script auslesen, völlig unabhängig vom IIS. Aber: Bis Windows Server 2003 (ohne SP) wurde das LastLogon nicht repliziert. Das heißt, wenn du mehrere Anmeldeserver hast, dann musst du von allen die Daten einsammeln und dann den jeweils letzten nehmen. Solltest du bereits W2k3-SP1 im Einsatz haben, dann hat sich das Problem erübrigt, weil ab dort das LastLogon mit übertragen wird.

 

Weiteres Aber: Das was du auslesen kannst wird dir nicht viel nützen, dazu musst du erst den entsprechenden Alghoritmus zum konvertieren haben, das diese Werte innerhalb der ADS als kryptische Zahlenwerte abgelegt werden. Ich kann dir aktuell leider nicht sagen, wo sich dieser Alg finden lässt, wenn ich wieder drauf stosse werde ich dir aber Bescheid geben, wenn Interesse besteht.

[xcooldj 10]

Hallo,

 

alle server sind 2003server mit sp1! Klar würde mich das Interesieren! Kannst du mir helfen wie so ein script auszusehen hat. ich bin leider nicht der scripting experte ;-)

 

Gruß Tino

[phoenixcp 10]

Such dir doch mal von MS die ADSIScriptomatic raus. Die bastelt dir den Großteil der Skripte schon automatisch. ;)

[GuentherH 61]

Hi.

 

Wieso machst du es nicht mit dem Additional Account Info - View Additional User Information in AD Users and Computers

 

LG Günther

[Daim 12]

Buenos dias,

 

Aber: Bis Windows Server 2003 (ohne SP) wurde das LastLogon nicht repliziert. Das heißt, wenn du mehrere Anmeldeserver hast, dann musst du von allen die Daten einsammeln und dann den jeweils letzten nehmen. Solltest du bereits W2k3-SP1 im Einsatz haben, dann hat sich das Problem erübrigt, weil ab dort das LastLogon mit übertragen wird.

 

ich hake hier mal ein ;-)

 

Im Active Directory des Windows Server 2003 gibt es ein verbessertes Attribut namens "lastLogonTimestamp". Dieses kann man aber erst nutzen, wenn sich der Domänenfunktionsmodus auf "Windows Server 2003" befindet.

 

Dandelions, VCR Clocks, and Last Logon Times: These are a Few of Our Least Favorite Things

http://msdn.microsoft.com/library/default.asp?url=/library/en-us/adschema/adschema/a_lastlogontimestamp.asp

 

Nur wird dieses Attribut auch nicht sofort repliziert.

When a user logs on the value

of this attribute is read from the DC. If the value is older than

(current time minus msDS-LogonTimeSyncInterval) the value is updated.

The initial update after the raise of the domain functional level is

calculated as (14 days minus random percentage of 5 days)

 

Diesen Wert kann man anpassen indem man das Attribut "msDS-LogonTimeSyncInterval" anpasst.

 

Eine weitere Variante wäre, inaktive Konten aus dem AD zu finden, mit dem Befehl:

"dsquery user -inactive <Anzahl der Wochen>", wobei der Schalter "inactive" ebenfalls das Attribut "LastLogonTimeStamp" verwendet.

 

Oder so etwas in der Art:

http://www.jsifaq.com/SF/Tips/Tip.aspx?id=7358

bzw.:

Last Logon Dates

 

 

Das nur mal als Ergänzung ;-)