10
Eventlog gesperrtes Konto, Konto als Parameter übergeben
Hallo
Ich arbeite gerade daran, dass ich ein Email bekomme, wenn ein Benutzerkonto gesperrt wird.
Die Konten werden bei uns, Win 2012 R2, gesperrt wenn sich jemand mehrmals mit falschem Passwort versucht anzumelden.
Jetzt hab ich in der Aufgabenplanung ein Task definiert der beim Event 470 ein Programm startet.
Das Programm ist ein Batch der mit Blat.exe ein Email rausschiesst.
Ich suche jetzt eine Möglichkeit, das Konto beim Aufruf als Parameter mitzugeben, damit ich gleich sehe welcher Benutzer gesperrt wird.
Weiss jemand wie ich das aus dem Eventlog rauskriege?
Oder wie macht ihr das?
Batch sieht so aus:
Danke
Pablo
Ich arbeite gerade daran, dass ich ein Email bekomme, wenn ein Benutzerkonto gesperrt wird.
Die Konten werden bei uns, Win 2012 R2, gesperrt wenn sich jemand mehrmals mit falschem Passwort versucht anzumelden.
Jetzt hab ich in der Aufgabenplanung ein Task definiert der beim Event 470 ein Programm startet.
Das Programm ist ein Batch der mit Blat.exe ein Email rausschiesst.
Ich suche jetzt eine Möglichkeit, das Konto beim Aufruf als Parameter mitzugeben, damit ich gleich sehe welcher Benutzer gesperrt wird.
Weiss jemand wie ich das aus dem Eventlog rauskriege?
Oder wie macht ihr das?
Batch sieht so aus:
"C:\Program Files (x86)\Blat\blat" -t ict@domain.tld -f server@domain.tld -server mailserver.domain.tld -s An_Account_has_been_locked -body Account_is_locked Danke
Pablo
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 317420
Url: https://administrator.de/contentid/317420
Printed on: April 19, 2024 at 16:04 o'clock
10 Comments
Latest comment
Task als XML exportieren, Variablen der XML hinzufügen und wieder importieren
Wie kann ich per Aufgabenplanung einen Wert an ein Script übergeben
R.
Wie kann ich per Aufgabenplanung einen Wert an ein Script übergeben
R.
Hi.
Wir machen das so: auf dem DC einen Notify-Lockout-Task einrichten, der von dem Lockoutevent getriggert wird.
Aktion des Tasks ist ein Powershellskript:
Da wird also eine Mail an die Verteilergruppe syslog geschickt. Will man dann als Admin auch sehen, ob sich jemand darum gekümmert hat, richtet man einen zweiten Task ein: Notify unlock, der bei einem unlock-Event getriggert wird mit folgendem Skript:
Wir machen das so: auf dem DC einen Notify-Lockout-Task einrichten, der von dem Lockoutevent getriggert wird.
Aktion des Tasks ist ein Powershellskript:
$Event = Get-EventLog -LogName Security -InstanceId 4740 -Newest 1
$MailBody= $Event.Message + "`r`n`t" + $Event.TimeGenerated
$MailSubject= "Nutzerkonto gesperrt!"
$SmtpClient = New-Object system.net.mail.smtpClient
$SmtpClient.host = "Mailserver.domain.local"
$MailMessage = New-Object system.net.mail.mailmessage
$MailMessage.from = "DCName@domain.local"
$MailMessage.To.add("syslog@domain.local")
$MailMessage.IsBodyHtml = 0
$MailMessage.Subject = $MailSubject
$MailMessage.Body = $MailBody
$SmtpClient.Send($MailMessage)Da wird also eine Mail an die Verteilergruppe syslog geschickt. Will man dann als Admin auch sehen, ob sich jemand darum gekümmert hat, richtet man einen zweiten Task ein: Notify unlock, der bei einem unlock-Event getriggert wird mit folgendem Skript:
$Event = Get-EventLog -LogName Security -InstanceId 4767 -Newest 1
$MailBody= $Event.Message + "`r`n`t" + $Event.TimeGenerated
$MailSubject= "Nutzerkonto wurde entsperrt!"
$SmtpClient = New-Object system.net.mail.smtpClient
$SmtpClient.host = "Mailserver.domain.local"
$MailMessage = New-Object system.net.mail.mailmessage
$MailMessage.from = "DCName@domain.local"
$MailMessage.To.add("syslog@domain.local")
$MailMessage.IsBodyHtml = 0
$MailMessage.Subject = $MailSubject
$MailMessage.Body = $MailBody
$SmtpClient.Send($MailMessage)
1
Abend @DerWoWusste,
Gruß,
Dani
auf dem DC einen Notify-Lockout-Task einrichten,
genauer gesagt: Auf dem Domain Controller welcher die FSMO-Rolle PDC hält.Gruß,
Dani
Verteile den Task doch sicherheitshalber an alle DCs per Gpo.
Moin,
ich hab heut nochmals mit den AD-Jungs gesprochen. Sollte der PDC-Emulator nicht verfügbar sein, wird es auf dem jeweiligen DC protokolliert.
Daher hast du natürlich recht.
Gruß,
Dani
ich hab heut nochmals mit den AD-Jungs gesprochen. Sollte der PDC-Emulator nicht verfügbar sein, wird es auf dem jeweiligen DC protokolliert.
Daher hast du natürlich recht.
Gruß,
Dani
Hi Dani.
Das Sperr-Event wird immer auf allen DCs geloggt, somit erhält man doppelte Mails, wenn man diesen Task auf allen einrichtet. Aber gut, wenn man nicht gerade 5 DCs hat, kann man damit wohl leben.
Das Sperr-Event wird immer auf allen DCs geloggt, somit erhält man doppelte Mails, wenn man diesen Task auf allen einrichtet. Aber gut, wenn man nicht gerade 5 DCs hat, kann man damit wohl leben.
Moin,
Gruß,
Dani
Das Sperr-Event wird immer auf allen DCs geloggt, somit erhält man doppelte Mails, wenn man diesen Task auf allen einrichtet.
kann ich nicht bestätigen. Ich habe im Lab zwei DCs aufgsetzt, einen Client mit Windows 7 und getestet. Bisher scheint das Event immer auf dem Server, welcher die Rolle "PDC Emulator" besitzt.Gruß,
Dani
Tja... Sind denn auch beide global catalogues server? Hier ja und die Nachricht kommt immer von beiden.
Moin,
eigentlich schon... muss ich mir genauer am Weekend anschauen.
Wir nutzen in der Produktiven Umgebung SCCM dafür. Evtl. ist dein Skript in unserer IT-Domäne eine sinnvolle Ergänzung...
Gruß,
Dani
eigentlich schon... muss ich mir genauer am Weekend anschauen.
Wir nutzen in der Produktiven Umgebung SCCM dafür. Evtl. ist dein Skript in unserer IT-Domäne eine sinnvolle Ergänzung...
Gruß,
Dani
