mitnick
Goto Top

AD Auswertug

Hallo zusammen, ich würde gerne etwas umsetzen...finde aber nichts passenden o. verwende vll. die falschen Begriffe bei meiner Suche.

Es geht um folgendes:

Ich würde gerne auslesen, welcher User zur Zeit über welchen PC an der Domäne angemeldet ist (2 Dcs vorhanden) und dies über eine "Webseite" ausgeben. Des Weiteren wäre es schön, wenn man den Wert des PC-Namens dann durch einen klick an eine Fernwarungssoftware (DameWare) übergeben könnte.

Hat jemand vll eine Idee wie ich dies umsetzten könnte?, ich habe bereis mit Powershell etwas experimentiert, dies brachte aber leider keinen Erfolg.

Danke Gruß Holger

Content-ID: 381953

Url: https://administrator.de/forum/ad-auswertug-381953.html

Ausgedruckt am: 23.12.2024 um 03:12 Uhr

Penny.Cilin
Penny.Cilin 01.08.2018 um 11:00:15 Uhr
Goto Top
Hallo,

Gegenfrage:
  • Was willst Du damit erreichen?
  • Was ist der Sinn und Zweck des Ganzen?
Du weißt das eine solche Auswertung unter Umständen gegen den Datenschutz verstoßen kann?
Zudem fehlen relevante Informationen. Wie Du eine Frage richtig stellst.
Um welche Betriebssysteme (Client / Server) geht es?

Gruss Penny
mitnick
mitnick 01.08.2018 um 11:08:51 Uhr
Goto Top
Hi,

Ich möchte damit erreichen, dass es einfacher für den Admin wird, sich bei den Nutzern auf dem PC aufzuschalten. Wenn es zu einem Problem kommt, ruf den Nutzer an und nennt seinen Namen, durch das "Tool" kann man direkt einsehen an welchem PC dieser Nutzer angemeldet ist und sich direkt aufschalten.

Beim Datenschutz habe ich weniger bedenken, da diese Abfrage ein aktuelles Bild liefern soll und nichts abspeichert. Der letzte Login und wie lange jemand eingeloggt war, interessiert mich nicht.

Als Betriebssystem wird Server 2012 für die Dcs eingesetzt und auf den Clients befindet sich Windows 7

lg Holger
GrueneSosseMitSpeck
GrueneSosseMitSpeck 01.08.2018 aktualisiert um 11:16:34 Uhr
Goto Top
such in Englisch, gibt zehnmal soviele Treffer wie im Deutschen. z.B. dieser hier:

www.lepide.com/blog/audit-successful-logon-logoff-and-failed-logons-in-activedirectory/

Kommentar aus meiner eigenen Erfahrung:

Die erfolgreichen logon Events werden von haus aus nur clientseitig mitprotokolleirt, serverseitig nicht. Das kann man dann aktivieren, aber dann muß man auch ALLE logonserver auswerten... viel Spaß dabei.

Wenn ein Client sich aber einmal erfolreich mit einem AD account an einem PC angemeldet hat und am nächsten Tag gibts z.B. eine Netzstörung, dann wird gegen lokal zwischengespeicherte Security Tokens authentifiziert und im Eventlog des PCs findet man dann "no logon servers available". Sprich das Logging über solche Events ist höchst unzuverlässig.

Auch wenn der User seine Arbeitsstation sperrt oder abends in den Ruhezustand versetzt, dann gibts kein mitprotokolliertes AD Login.
Pjordorf
Pjordorf 01.08.2018 um 11:36:36 Uhr
Goto Top
Hallo,

Zitat von @mitnick:
Ich möchte damit erreichen, dass es einfacher für den Admin wird, sich bei den Nutzern auf dem PC aufzuschalten. Wenn es zu einem Problem kommt, ruf den Nutzer an und nennt seinen Namen, durch das "Tool" kann man direkt einsehen an welchem PC dieser Nutzer angemeldet ist und sich direkt aufschalten.
Der Admin ruft den Nutzer an wenn der Nutzer ein Problem hat?!? Meistens ruft der Nutzer den Admin an.
Nutze BGInfo un d lass den Nutzer seine IP vorlesen oder Rechnernamen nennen usw. Ausserdem wenn der Nutzer eine Einladung zur Fernwartung an den Admin schickt (MS RDP) ist in der Einladung schon alles drin. Der Admin braucht nur noch Klicken...
Bei TeamViewer, VNC, Fastviewer, AnyDesk kann der Nutzer doch die ID auch per Telefon durchgeben oder den Rechnernamen vom päpperl ablesen...

Gruß,
Peter
mitnick
mitnick 01.08.2018 um 11:53:38 Uhr
Goto Top
Hallo, sry wenn ich mich verschrieben habe, ich meine der Nutzer kontaktiert den Admin und nennt seinen Namen.

BGinfo ist keine alternative, da dafür alle Fenster geschlossen werden müssen um den Desktop zu sehen (was nicht immer geht). Auch Aufkleber sind nicht so toll, da die Gehäuse schlecht einzusehen sind...und auf den Monitor möchte ich den PC-Namen nicht kleben. Das mit der Einladung wäre eine Idee, ist aber bei uns nicht so umsetzbar.
colinardo
colinardo 01.08.2018 aktualisiert um 12:05:09 Uhr
Goto Top
Täglich grüßt das Murmeltier ... hab ich hier schon 1000 und 1 mal gespostet face-wink
Anmeldestatus von Benutzern im Active Directory speichern
An- und Abmelde Ereignisse mit Powershell auslesen
Powershell abfragen wer gerade an PC angemeldet ist
Angemeldeten Benutzer auslesen und Namen als Variable speichern
Kannst du mit PHP oder ASP als Seite verwursten.

Grüße Uwe

p.s. Der Typo im Titel lässt sich auch nachträglich korrigieren!
Penny.Cilin
Penny.Cilin 01.08.2018 um 12:19:16 Uhr
Goto Top
Zitat von @mitnick:


BGinfo ist keine alternative, da dafür alle Fenster geschlossen werden müssen um den Desktop zu sehen (was nicht immer geht).

Wieso? Die Tastenkombination WIN+D holt den Desktop in den Vordergrund.
Und außerdem könnte man auch ein Skript (Batch, PowerShell) in die Taskleiste legen, wo die relevanten Systeminformationen abgelegt sind.

Ich hatte zu Windows 2000 Zeiten schon solch ein Batchskript.

Gruss Penny
mitnick
mitnick 01.08.2018 um 12:23:32 Uhr
Goto Top
Hey Dankeschön werde ich einmal ausprobieren
mitnick
mitnick 01.08.2018 um 12:39:46 Uhr
Goto Top
Super ich bin ja weit gekommen ^^

Ich hänge gerade hier:

Nun fügt man im Dialog einen neuen Eintrag mit dem Benutzer SELBST hinzu, wählt unter "Übernehmen für": Untergeordnete "Benutzer"-Objekte aus, setzt einen Haken bei Zulassen für "Kommentar" schreiben .

Den Punkt Untergeordnete "Benutzer"-Objekte" finde ich bei mir nicht. Ich habe nur Untergeordnete "User"-Objekte gefunden, dort fehlt mir aber "Kommentar" schreiben

Danke lg
colinardo
colinardo 01.08.2018 aktualisiert um 14:10:41 Uhr
Goto Top
Zitat von @mitnick:
Den Punkt Untergeordnete "Benutzer"-Objekte" finde ich bei mir nicht. Ich habe nur Untergeordnete "User"-Objekte gefunden, dort fehlt mir aber "Kommentar" schreiben
Englisch ist schon schwer face-smile. Benutzer(de) = User(en) , Preisfrage wie heißt wohl das LDAP Attribut für Kommentar in Englisch face-wink.
http://www.selfadsi.de/user-attributes-w2k8.htm

info / comment
SlainteMhath
SlainteMhath 01.08.2018 um 12:44:09 Uhr
Goto Top
Moin,

Beim Datenschutz habe ich weniger bedenken, da diese Abfrage ein aktuelles Bild liefern soll und nichts abspeichert
Hm, naja... red mal mit deinem Betriebsrat und/oder DSB darüber, immerhin lassen sich mit so einer Anzeige Anwesenheiten kontrollieren.

lg,
Slainte
Der.ITler
Der.ITler 01.08.2018 um 14:00:17 Uhr
Goto Top
Logonscript ausführen, So hast du schon mal ein Logfile welcher Benutzer am welchen PC bzw DC

Parameter %Logonserver% %Clientname% %Logontime%

vielleicht noch in eine .txt Datei Verpacken und dann hast alle Anmeldungen da drinn.

Möglichkeit um die Anmeldedaten auszulesen.
Julian94
Julian94 01.08.2018 um 14:09:15 Uhr
Goto Top
Ich hab damals sogar den Registrykey mit der Teamviewer ID ausgelesen und das dann alles in ne MySQL Datenbank importiert und mittels PHP, JS ausgelesen und gefiltert.

Script ist aber leider nicht mehr vorhanden.
127132
127132 02.08.2018 um 07:20:33 Uhr
Goto Top
Zitat von @SlainteMhath:

Beim Datenschutz habe ich weniger bedenken, da diese Abfrage ein aktuelles Bild liefern soll und nichts abspeichert
Hm, naja... red mal mit deinem Betriebsrat und/oder DSB darüber, immerhin lassen sich mit so einer Anzeige Anwesenheiten kontrollieren.

Jepp. Das geht rechtlich einwandfrei wenn dann nur über Art 88 DSGVO und § 28 BDSG. "Probleme" bereiten da wohl die §§ 31 und 32 BDSG und Art 6 DSGVO.
Da bietet sich dann eine Betriebsvereinbarung an oder tatsächlich Verträge mit den einzelnen Usern. Insgesamt ein ziemlich heißes Eisen.

Aber....kann DRS nicht auch direkt den User aus dem AD aufrufen? Zumindest die Computer sollte es aber aus dem AD rausfiltern können.

Bei DRS weiß ich es nicht, aber über Teamviewer nutze ich bei bestimmten Usern die Möglichkeit des QuickSupports. Die schlagen dann bei mir auf, wenn sie Hilfe brauchen.