kangaroojack
Goto Top

Event 4740 User Lockout - shutdown Remote Computer

Hallo Leute,

sobald ein 4740 Event auf dem DC geloggt wird, lassen wir uns mit einem kleinen Powershellskript eine Mail schreiben mit Benutzername und Computername aus dem Eventlog.

Oft meldet sich der betroffene User auf der Hotline und das Konto wird wieder entsperrt - alles gut.
Es kommt aber auch öfter vor, dass der betroffene User gar nicht da ist, wegen Krankheit, Urlaub (was weiß ich) - der User ist noch angemeldet, und das gesperrte Konto erzeugt vorlaufend Events, was dann ettliche Emails zur Folge hat.

Nun wäre meine spontane Überlegung den jeweiligen Computer remote herunterzufahren, sobald in Zeitraum X z.B. 3 Sperrevents geloggt wurden.

Wär evtl. auch gar nicht schlecht, falls von einem PC aus mal eine Brutforceattacke gestartet werden würde, somit wäre die Kiste schnell abgeschaltet.

Jemand eine Idee, wie wan das am geschicktesten machen könnte? Hab selbst aktuell noch keinen Gehirnschmalz reingesteckt, sorry, wollte mal hören, ob evtl. jemand ne coole Idee hat um das zu bauen.

LG
KangarooJack

Content-Key: 8072723047

Url: https://administrator.de/contentid/8072723047

Printed on: December 4, 2023 at 09:12 o'clock

Member: Pjordorf
Pjordorf Aug 07, 2023 updated at 20:44:10 (UTC)
Goto Top
Hallo,

Zitat von @Kangaroojack:
Jemand eine Idee, wie wan das am geschicktesten machen könnte? Hab selbst aktuell noch keinen Gehirnschmalz reingesteckt, sorry, wollte mal hören, ob evtl. jemand ne coole Idee hat um das zu bauen.
shutdown /?
Dort shutdown /m \\Computer

Gruß,
Peter