illuminaten 10 Geschrieben 12. Juli 2021 Melden Teilen Geschrieben 12. Juli 2021 Hallo, ich bin auf der Suche nach einem Script, um herauszufinden, an welchen Computern die Benutzer sich am AD anmelden. Perfekt wäre die Ausgabe in eine csv-Datei. Vielen Dank für Eure Unterstützung GRuß Zitieren Link zu diesem Kommentar
cj_berlin 1.329 Geschrieben 12. Juli 2021 Melden Teilen Geschrieben 12. Juli 2021 Moin, Security Logs aller DCs nach Event 4624 durchsuchen und die Metadaten der Events auswerten. Damit das funktioniert, Auditing einschalten. Alternativ: Auf allen Clients die C:\Users\*\NTUSER.DAT auflisten und den Zeitstempel auswerten. 1 Zitieren Link zu diesem Kommentar
BOfH_666 577 Geschrieben 12. Juli 2021 Melden Teilen Geschrieben 12. Juli 2021 vor 49 Minuten schrieb illuminaten: ich bin auf der Suche nach einem Script hmmm ... bitte nicht falsch verstehen, aber wo hast Du denn schon überall gesucht? Solche Fragen tauchen in den passenden Foren häufiger auf und wurden auch schon sehr häufig beantwortet. Die generelle Vorgehensweise hat Dir Evgenij ja schon geschildert ... Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 13. Juli 2021 Melden Teilen Geschrieben 13. Juli 2021 Moin, und weil es sonst auch immer zu Recht betont wird: So eine Auswertung ist juristisch heikel und kann die Zustimmung von Betriebsrat, Mitarbeiter*in, ... erfordern. Lass dich im Zweifel beraten, wir dürfen es nicht. Gruß, Nils 1 Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 13. Juli 2021 Melden Teilen Geschrieben 13. Juli 2021 Senf dazu: Der Benutzer meldet sich nicht "am AD an", er authentifiziert sich nur dort. Und danach meldet er sich auch nicht am AD an, sondern da, wo er sich grad eben anmeldet. Wobei das technisch auch wieder falsch ist - er meldet sich nicht an (das gibt's in der Form nicht), sondern er startet eine Anmeldesitzung, weil er aufgrund der AD-Authentifizierung das Recht dazu hat. Und wenn dann noch Cached Credentials im Spiel sind, kriegt das AD noch nicht mal die Authentifizierung mit. AD-Events sind für eine Protokollierung/Überwachung von Benutzeranmeldungen völlig ungeeignet... Und waren das auch immer. (OT: Warum ich das schreibe? Weil diese Schnapsidee der AD-Events für Benutzeranmeldungen auch bei uns wieder durch's Unternehmen zieht und die "Profis" nicht verstehen, wie das eigentlich funktioniert) Zitieren Link zu diesem Kommentar
cj_berlin 1.329 Geschrieben 13. Juli 2021 Melden Teilen Geschrieben 13. Juli 2021 vor 10 Minuten schrieb daabm: AD-Events sind für eine Protokollierung/Überwachung von Benutzeranmeldungen völlig ungeeignet... Und waren das auch immer. Kommt auf die konkrete Fragestellung an. Auch Cached Credentials wurden ursprünglich gegen das AD bestätigt, wenn es ein AD-Account ist. Insofern, die Frage "wo hat sich User X jemals interaktiv angemeldet?" kann mit den Logs von den DCs sehr wohl zufriedenstellend beantwortet werden. Die Frage "wo hat sich User X gestern interaktiv angemeldet?" kann natürlich nicht genau damit beantwortet werden, sofern Cached Credentials aktiv sind. Sie sind aber hoffentlich nicht aktiv auf: Servern, PAWs und idealerweise auf allen Geräten, die per LAN angeschlossen sind. Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 13. Juli 2021 Melden Teilen Geschrieben 13. Juli 2021 Evgenij, sorry - cached Credentials werden nicht "im AD bestätigt". Anmelden, irgendwas machen, abmelden. Das taucht niemals im AD (bzw. genauer im Security Eventlog eines Domain Controllers) auf. Nur wenn während der Session wieder eine AD-Verbindung verfügbar wird... Aber ich bin ja nicht b***d, ich habe alle (W)LAN-Verbindungen vorher deaktiviert bzw. die VPN-Einwahl verhindert. Kein AD - kein Event. vor 2 Minuten schrieb cj_berlin: idealerweise auf allen Geräten, die per LAN angeschlossen sind. Hehe - schöne Träume Zitieren Link zu diesem Kommentar
cj_berlin 1.329 Geschrieben 13. Juli 2021 Melden Teilen Geschrieben 13. Juli 2021 Gerade eben schrieb daabm: Evgenij, sorry - cached Credentials werden nicht "im AD bestätigt". Ich meine, in dem Moment, wo sie gecached werden, bei der ersten Anmeldung nach dem letzten Passwortwechsel. Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 13. Juli 2021 Melden Teilen Geschrieben 13. Juli 2021 Okeee - hilft, wenn man sich einig ist worüber man redet Zitieren Link zu diesem Kommentar
cj_berlin 1.329 Geschrieben 13. Juli 2021 Melden Teilen Geschrieben 13. Juli 2021 vor 1 Minute schrieb daabm: Hehe - schöne Träume Hah - ich habe sogar einen Kunden, der schriftlich definiert hat: "Offline-Arbeiten gibt es nicht". In aller Konsequenz gibt es dann AlwaysOn-VPN und keine Cached Credentials auf Notebooks, die 90% der Zeit draußen sind. Aber so etwas ist in der Tat eher die Ausnahme. Ich bin da inzwischen bei der Ansicht angekommen, dass Modern Management ohne Domain-Mitgliedschaft der Clients plus Terminalserver/VDI zum produktiven Arbeiten das langfristig bessere Konzept ist als der "closely managed" Client... Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 13. Juli 2021 Melden Teilen Geschrieben 13. Juli 2021 vor 1 Stunde schrieb cj_berlin: Aber so etwas ist in der Tat eher die Ausnahme. Ich bin da inzwischen bei der Ansicht angekommen, dass Modern Management ohne Domain-Mitgliedschaft der Clients plus Terminalserver/VDI zum produktiven Arbeiten das langfristig bessere Konzept ist als der "closely managed" Client... Aber auch nur, weil seit gefühlt 10 Jahren alle dahinarbeiten. ;) Wäre das anders, gäbs auch andere Lösungen. Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 14. Juli 2021 Melden Teilen Geschrieben 14. Juli 2021 Moin, vor 10 Stunden schrieb cj_berlin: Kommt auf die konkrete Fragestellung an. das ist doch eigentlich der springende Punkt. Ich habe mir die Frage an den TO diesmal verkniffen, aber bevor wir hier Details auseinanderdröseln, wäre das doch mal relevant. Gruß, Nils 1 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.