herausfinden an welchem PC sich ein User eingeloggt hat

[WarEagle 10]

Guten Morgen,

 

kennt jemand ein Tool oder eine Möglichkeit über AD herauszufinden, an welchem PC sich ein User das letzte Mal eingeloggt hat, bzw. versucht hat sich das letze mal einzuloggen?

Ausser jetzt die Eventlogs sämtlicher DCs zu "durchwühlen"

 

lg

Oli

[sysiphos 10]

Hallo,

ja das kannst über eine Batch im Anmeldeskript machen, hier ein Beispiel

 

@echo off

@set Datei=\\Server\Freigabe\%date:~3%\%date%\%Username%_%Computername:~-3%
if  not exist \\Server\Freigabe\%date:~3%\%date% mkdir \\Server\Freigabe\%date:~3%\%Date%
REM * setzten von Datum und Uhrzeit/öffnen Logfile *
@echo Letzte Anmeldung am > %Datei%
@date /t >> %Datei%
@time /t >> %Datei%
@echo %Computername% >>%Datei%
@echo %Logonserver% >>%Datei%
ipconfig /all >>%Datei%
exit

 

Gruß

[WarEagle 10]

Gute Idee :) danke ...

[Edit] aber fehlgeschlagene Loginversuche sehe ich so leider nicht [/edit]

im AD sind diese Infos per default nirgends hinterlegt, oder?

[sysiphos 10]

Du kannst doch Fehlgeschlagene Anmeldeversuche überwachen lassen.

[WarEagle 10]

Am Client über GPOs, aber Zentral irgendwo gesammelt? Oder über MOM?

 

[edit] bzw. im Eventlog des betreffenden DCs [/edit]

[sysiphos 10]

Hallo,

du kannst es am DC einrichten und zwar rechte Maustaste im AD auf der Domäne-> Gruppenrichtlinie-> Default Domain Policy-> Computerkonfiguration-> Windows Einstellungen-> Sicherheitseinstellungen-> Lokale Richtlinien-> Überwachungsrichtlinien-> Anmeldeversuche und Anmeldeereignisse Überwachen doppelklicken aktivieren und ein Hacken auf Fehlgeschlagen setzen. Auswerten kannst du es auf dem DC im Eventlog unter Sicherheit.

 

Gruß

[WarEagle 10]

ja genau das meinte ich, aber das bleibt dann ja auf dem DC auf dem Loginversuch fehlgeschlagen ist so weit ich das gesehn habe.

Oder wird das auf alle DCs repliziert bzw. gibts ne Methode das anzustoßen?

 

Es ist nicht wirklich praktikabel alle DCs durchzusuchen ...