Eventlog gesperrtes Konto, Konto als Parameter übergeben
Hallo
Ich arbeite gerade daran, dass ich ein Email bekomme, wenn ein Benutzerkonto gesperrt wird.
Die Konten werden bei uns, Win 2012 R2, gesperrt wenn sich jemand mehrmals mit falschem Passwort versucht anzumelden.
Jetzt hab ich in der Aufgabenplanung ein Task definiert der beim Event 470 ein Programm startet.
Das Programm ist ein Batch der mit Blat.exe ein Email rausschiesst.
Ich suche jetzt eine Möglichkeit, das Konto beim Aufruf als Parameter mitzugeben, damit ich gleich sehe welcher Benutzer gesperrt wird.
Weiss jemand wie ich das aus dem Eventlog rauskriege?
Oder wie macht ihr das?
Batch sieht so aus:
Danke
Pablo
Ich arbeite gerade daran, dass ich ein Email bekomme, wenn ein Benutzerkonto gesperrt wird.
Die Konten werden bei uns, Win 2012 R2, gesperrt wenn sich jemand mehrmals mit falschem Passwort versucht anzumelden.
Jetzt hab ich in der Aufgabenplanung ein Task definiert der beim Event 470 ein Programm startet.
Das Programm ist ein Batch der mit Blat.exe ein Email rausschiesst.
Ich suche jetzt eine Möglichkeit, das Konto beim Aufruf als Parameter mitzugeben, damit ich gleich sehe welcher Benutzer gesperrt wird.
Weiss jemand wie ich das aus dem Eventlog rauskriege?
Oder wie macht ihr das?
Batch sieht so aus:
"C:\Program Files (x86)\Blat\blat" -t ict@domain.tld -f server@domain.tld -server mailserver.domain.tld -s An_Account_has_been_locked -body Account_is_locked
Danke
Pablo
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 317420
Url: https://administrator.de/forum/eventlog-gesperrtes-konto-konto-als-parameter-uebergeben-317420.html
Ausgedruckt am: 22.12.2024 um 14:12 Uhr
10 Kommentare
Neuester Kommentar
Task als XML exportieren, Variablen der XML hinzufügen und wieder importieren
Wie kann ich per Aufgabenplanung einen Wert an ein Script übergeben
R.
Wie kann ich per Aufgabenplanung einen Wert an ein Script übergeben
R.
Hi.
Wir machen das so: auf dem DC einen Notify-Lockout-Task einrichten, der von dem Lockoutevent getriggert wird.
Aktion des Tasks ist ein Powershellskript:
Da wird also eine Mail an die Verteilergruppe syslog geschickt. Will man dann als Admin auch sehen, ob sich jemand darum gekümmert hat, richtet man einen zweiten Task ein: Notify unlock, der bei einem unlock-Event getriggert wird mit folgendem Skript:
Wir machen das so: auf dem DC einen Notify-Lockout-Task einrichten, der von dem Lockoutevent getriggert wird.
Aktion des Tasks ist ein Powershellskript:
$Event = Get-EventLog -LogName Security -InstanceId 4740 -Newest 1
$MailBody= $Event.Message + "`r`n`t" + $Event.TimeGenerated
$MailSubject= "Nutzerkonto gesperrt!"
$SmtpClient = New-Object system.net.mail.smtpClient
$SmtpClient.host = "Mailserver.domain.local"
$MailMessage = New-Object system.net.mail.mailmessage
$MailMessage.from = "DCName@domain.local"
$MailMessage.To.add("syslog@domain.local")
$MailMessage.IsBodyHtml = 0
$MailMessage.Subject = $MailSubject
$MailMessage.Body = $MailBody
$SmtpClient.Send($MailMessage)
Da wird also eine Mail an die Verteilergruppe syslog geschickt. Will man dann als Admin auch sehen, ob sich jemand darum gekümmert hat, richtet man einen zweiten Task ein: Notify unlock, der bei einem unlock-Event getriggert wird mit folgendem Skript:
$Event = Get-EventLog -LogName Security -InstanceId 4767 -Newest 1
$MailBody= $Event.Message + "`r`n`t" + $Event.TimeGenerated
$MailSubject= "Nutzerkonto wurde entsperrt!"
$SmtpClient = New-Object system.net.mail.smtpClient
$SmtpClient.host = "Mailserver.domain.local"
$MailMessage = New-Object system.net.mail.mailmessage
$MailMessage.from = "DCName@domain.local"
$MailMessage.To.add("syslog@domain.local")
$MailMessage.IsBodyHtml = 0
$MailMessage.Subject = $MailSubject
$MailMessage.Body = $MailBody
$SmtpClient.Send($MailMessage)
Abend @DerWoWusste,
Gruß,
Dani
auf dem DC einen Notify-Lockout-Task einrichten,
genauer gesagt: Auf dem Domain Controller welcher die FSMO-Rolle PDC hält.Gruß,
Dani
Moin,
Gruß,
Dani
Das Sperr-Event wird immer auf allen DCs geloggt, somit erhält man doppelte Mails, wenn man diesen Task auf allen einrichtet.
kann ich nicht bestätigen. Ich habe im Lab zwei DCs aufgsetzt, einen Client mit Windows 7 und getestet. Bisher scheint das Event immer auf dem Server, welcher die Rolle "PDC Emulator" besitzt.Gruß,
Dani