Event 4740 User Lockout - shutdown Remote Computer
Hallo Leute,
sobald ein 4740 Event auf dem DC geloggt wird, lassen wir uns mit einem kleinen Powershellskript eine Mail schreiben mit Benutzername und Computername aus dem Eventlog.
Oft meldet sich der betroffene User auf der Hotline und das Konto wird wieder entsperrt - alles gut.
Es kommt aber auch öfter vor, dass der betroffene User gar nicht da ist, wegen Krankheit, Urlaub (was weiß ich) - der User ist noch angemeldet, und das gesperrte Konto erzeugt vorlaufend Events, was dann ettliche Emails zur Folge hat.
Nun wäre meine spontane Überlegung den jeweiligen Computer remote herunterzufahren, sobald in Zeitraum X z.B. 3 Sperrevents geloggt wurden.
Wär evtl. auch gar nicht schlecht, falls von einem PC aus mal eine Brutforceattacke gestartet werden würde, somit wäre die Kiste schnell abgeschaltet.
Jemand eine Idee, wie wan das am geschicktesten machen könnte? Hab selbst aktuell noch keinen Gehirnschmalz reingesteckt, sorry, wollte mal hören, ob evtl. jemand ne coole Idee hat um das zu bauen.
LG
KangarooJack
sobald ein 4740 Event auf dem DC geloggt wird, lassen wir uns mit einem kleinen Powershellskript eine Mail schreiben mit Benutzername und Computername aus dem Eventlog.
Oft meldet sich der betroffene User auf der Hotline und das Konto wird wieder entsperrt - alles gut.
Es kommt aber auch öfter vor, dass der betroffene User gar nicht da ist, wegen Krankheit, Urlaub (was weiß ich) - der User ist noch angemeldet, und das gesperrte Konto erzeugt vorlaufend Events, was dann ettliche Emails zur Folge hat.
Nun wäre meine spontane Überlegung den jeweiligen Computer remote herunterzufahren, sobald in Zeitraum X z.B. 3 Sperrevents geloggt wurden.
Wär evtl. auch gar nicht schlecht, falls von einem PC aus mal eine Brutforceattacke gestartet werden würde, somit wäre die Kiste schnell abgeschaltet.
Jemand eine Idee, wie wan das am geschicktesten machen könnte? Hab selbst aktuell noch keinen Gehirnschmalz reingesteckt, sorry, wollte mal hören, ob evtl. jemand ne coole Idee hat um das zu bauen.
LG
KangarooJack
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 8072723047
Url: https://administrator.de/forum/event-4740-user-lockout-shutdown-remote-computer-8072723047.html
Ausgedruckt am: 22.12.2024 um 10:12 Uhr
1 Kommentar
Hallo,
Dort shutdown /m \\Computer
Gruß,
Peter
Zitat von @Kangaroojack:
Jemand eine Idee, wie wan das am geschicktesten machen könnte? Hab selbst aktuell noch keinen Gehirnschmalz reingesteckt, sorry, wollte mal hören, ob evtl. jemand ne coole Idee hat um das zu bauen.
shutdown /?Jemand eine Idee, wie wan das am geschicktesten machen könnte? Hab selbst aktuell noch keinen Gehirnschmalz reingesteckt, sorry, wollte mal hören, ob evtl. jemand ne coole Idee hat um das zu bauen.
Dort shutdown /m \\Computer
Gruß,
Peter