pablovic
11.10.2016
view2896
view10
0
Goto Top

Eventlog gesperrtes Konto, Konto als Parameter übergeben

gelöstFrageMicrosoftWindows Server
Hallo

Ich arbeite gerade daran, dass ich ein Email bekomme, wenn ein Benutzerkonto gesperrt wird.
Die Konten werden bei uns, Win 2012 R2, gesperrt wenn sich jemand mehrmals mit falschem Passwort versucht anzumelden.

Jetzt hab ich in der Aufgabenplanung ein Task definiert der beim Event 470 ein Programm startet.
Das Programm ist ein Batch der mit Blat.exe ein Email rausschiesst.

Ich suche jetzt eine Möglichkeit, das Konto beim Aufruf als Parameter mitzugeben, damit ich gleich sehe welcher Benutzer gesperrt wird.
Weiss jemand wie ich das aus dem Eventlog rauskriege?

Oder wie macht ihr das?

Batch sieht so aus:

"C:\Program Files (x86)\Blat\blat" -t ict@domain.tld -f server@domain.tld -server mailserver.domain.tld -s An_Account_has_been_locked -body Account_is_locked

Danke

Pablo
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 317420

Url: https://administrator.de/contentid/317420

Ausgedruckt am: 21.11.2024 um 18:11 Uhr

10 Kommentare
Neuester Kommentar
Goto Top
131026
131026 11.10.2016 aktualisiert um 11:06:44 Uhr
Goto Top
Task als XML exportieren, Variablen der XML hinzufügen und wieder importieren
Wie kann ich per Aufgabenplanung einen Wert an ein Script übergeben

R.
DerWoWusste
Lösung DerWoWusste 11.10.2016 um 11:29:15 Uhr
Goto Top
Hi.

Wir machen das so: auf dem DC einen Notify-Lockout-Task einrichten, der von dem Lockoutevent getriggert wird.
Aktion des Tasks ist ein Powershellskript:
$Event = Get-EventLog -LogName Security -InstanceId 4740 -Newest 1
$MailBody= $Event.Message + "`r`n`t" + $Event.TimeGenerated  

$MailSubject= "Nutzerkonto gesperrt!"  
$SmtpClient = New-Object system.net.mail.smtpClient
$SmtpClient.host = "Mailserver.domain.local"  
$MailMessage = New-Object system.net.mail.mailmessage
$MailMessage.from = "DCName@domain.local"  
$MailMessage.To.add("syslog@domain.local")  
$MailMessage.IsBodyHtml = 0
$MailMessage.Subject = $MailSubject
$MailMessage.Body = $MailBody
$SmtpClient.Send($MailMessage)

Da wird also eine Mail an die Verteilergruppe syslog geschickt. Will man dann als Admin auch sehen, ob sich jemand darum gekümmert hat, richtet man einen zweiten Task ein: Notify unlock, der bei einem unlock-Event getriggert wird mit folgendem Skript:
$Event = Get-EventLog -LogName Security -InstanceId 4767 -Newest 1
$MailBody= $Event.Message + "`r`n`t" + $Event.TimeGenerated  

$MailSubject= "Nutzerkonto wurde entsperrt!"  
$SmtpClient = New-Object system.net.mail.smtpClient
$SmtpClient.host = "Mailserver.domain.local"  
$MailMessage = New-Object system.net.mail.mailmessage
$MailMessage.from = "DCName@domain.local"  
$MailMessage.To.add("syslog@domain.local")  
$MailMessage.IsBodyHtml = 0
$MailMessage.Subject = $MailSubject
$MailMessage.Body = $MailBody
$SmtpClient.Send($MailMessage)
heart1
Dani
Dani 11.10.2016 um 18:51:44 Uhr
Goto Top
Abend @DerWoWusste,
auf dem DC einen Notify-Lockout-Task einrichten,
genauer gesagt: Auf dem Domain Controller welcher die FSMO-Rolle PDC hält.


Gruß,
Dani
DerWoWusste
DerWoWusste 11.10.2016 um 18:59:58 Uhr
Goto Top
Verteile den Task doch sicherheitshalber an alle DCs per Gpo.
Dani
Dani 12.10.2016 um 21:03:07 Uhr
Goto Top
Moin,
ich hab heut nochmals mit den AD-Jungs gesprochen. Sollte der PDC-Emulator nicht verfügbar sein, wird es auf dem jeweiligen DC protokolliert.
Daher hast du natürlich recht.


Gruß,
Dani
DerWoWusste
DerWoWusste 13.10.2016 um 09:35:58 Uhr
Goto Top
Hi Dani.

Das Sperr-Event wird immer auf allen DCs geloggt, somit erhält man doppelte Mails, wenn man diesen Task auf allen einrichtet. Aber gut, wenn man nicht gerade 5 DCs hat, kann man damit wohl leben.
Dani
Dani 15.10.2016 um 16:14:37 Uhr
Goto Top
Moin,
Das Sperr-Event wird immer auf allen DCs geloggt, somit erhält man doppelte Mails, wenn man diesen Task auf allen einrichtet.
kann ich nicht bestätigen. Ich habe im Lab zwei DCs aufgsetzt, einen Client mit Windows 7 und getestet. Bisher scheint das Event immer auf dem Server, welcher die Rolle "PDC Emulator" besitzt.


Gruß,
Dani
DerWoWusste
DerWoWusste 15.10.2016 um 19:15:50 Uhr
Goto Top
Tja... Sind denn auch beide global catalogues server? Hier ja und die Nachricht kommt immer von beiden.
Dani
Dani 17.10.2016 um 20:25:31 Uhr
Goto Top
Moin,
eigentlich schon... muss ich mir genauer am Weekend anschauen.
Wir nutzen in der Produktiven Umgebung SCCM dafür. Evtl. ist dein Skript in unserer IT-Domäne eine sinnvolle Ergänzung...


Gruß,
Dani
pablovic
pablovic 20.10.2016 um 15:28:34 Uhr
Goto Top
Danke @DerWoWusste

Das Skript macht genau das was ich wollte.

Gruss P.
gelöstFrageMicrosoftWindows Server
Mehr von pablovicpablovicSpanning Tree Packete verwerfen am Switchpablovic - 8 KommentarepablovicNetzwerkauslastung NIC für eine Wochepablovic - 3 KommentarepablovicSachbuch durcharbeitenpablovic - 11 KommentarepablovicClient von wo aus sich jemand an der Domäne authentifiziert loggenpablovic - 6 Kommentare
Heiß diskutiert
user217Kaufberatung Hardware - Hyper-V Cluster 3 Nodesuser217 - 25 KommentarePharaunIntel-E810 QSFP28 to Mikrotik QSPF+ mit 40Gbit VerbindungPharaun - 23 KommentarecseLaufwege erfassen in großer Hallecse - 20 Kommentaresuperfun2k24Sophos SFOS 20 DNAT funktioniert nichtsuperfun2k24 - 20 Kommentareprplemk2Testumgebung bauen (Grundlegend)prplemk2 - 19 KommentareYan2021Nachricht an mehrere PCs im Netzwerk sendenYan2021 - 17 KommentareaufdemmarsHP Z620 USB hat kein Strom beim Startenaufdemmars - 15 KommentareTJ.Hooker74Dom.Admin-Passwort ändern - Auswirkungen auf EX, HCW, AADCTJ.Hooker74 - 14 KommentareJudgelgZertifikate in die Exchange Online GAL hochladenJudgelg - 13 KommentaremaisenkaiserSwitch ohne STP ins Netzwerkmaisenkaiser - 13 KommentareadmtechEntwicklertagebuch: Release 6.4 - Filteradmtech - 13 KommentareleberkaeseFB7590 ISDN Fax-Funktionleberkaese - 12 Kommentare