73329
04.09.2009, aktualisiert um 15:07:29 Uhr
5572
20
0
Force User logout bei Konto deaktivierung
Wenn ein AD-Benutzerkonto deaktiviert wird und der User noch angemeldet ist, kann er uneingeschränkt weiter arbeiten was nun zu verhindern ist.
Gibt es eine möglichkeit einen Check abzusetzen der z.B. alle 10min prüft, ob der Account deaktiviert ist und sobald dies zutrifft dem User die Session killt (vorzugsweise via GP)?
Bin um jeden Input froh...
Umgebung:
- W2k3 DC R2 SP2
- User melden sich über einen TerminalServer an!
Gibt es eine möglichkeit einen Check abzusetzen der z.B. alle 10min prüft, ob der Account deaktiviert ist und sobald dies zutrifft dem User die Session killt (vorzugsweise via GP)?
Bin um jeden Input froh...
Umgebung:
- W2k3 DC R2 SP2
- User melden sich über einen TerminalServer an!
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 124220
Url: https://administrator.de/forum/force-user-logout-bei-konto-deaktivierung-124220.html
Ausgedruckt am: 17.02.2025 um 01:02 Uhr
20 Kommentare
Neuester Kommentar
Hi,
also soweit ich weiss kann der Nutzer nicht uneingeschränkt weiterarbeiten.
Sobald ein Zugriff erfolgt werden die Rechte gegen geprüft, und wenn das Konto gesperrt ist, gibt es keinen Zugriff.
Das gilt z.B. für Outlook, das Speichern und Öffnen einer Datei oder das Entsperren des Bildschirmschoners mit Kennwort.
Via GPO die Session killen, geht meiner Meinung nach nicht.
Ich könnte das nur über lokale Skripte und geplante Tasks verwirklichen.
Gruss,
Destry
also soweit ich weiss kann der Nutzer nicht uneingeschränkt weiterarbeiten.
Sobald ein Zugriff erfolgt werden die Rechte gegen geprüft, und wenn das Konto gesperrt ist, gibt es keinen Zugriff.
Das gilt z.B. für Outlook, das Speichern und Öffnen einer Datei oder das Entsperren des Bildschirmschoners mit Kennwort.
Via GPO die Session killen, geht meiner Meinung nach nicht.
Ich könnte das nur über lokale Skripte und geplante Tasks verwirklichen.
Gruss,
Destry
Moin.
@Destry
@ccube
Diese Batch ließe sich wohl erstellen. Sie müsste ein Logoff absetzen, am besten über psshutdown -o
Zum Test, ob das Konto deaktiviert ist, würde ich das Kommando
net user DeaktivierterUser /domain
nehmen und dann im Output nach dem String
Konto aktiv Nein
suchen lassen.
Wie aber willst Du vorgehen, vollautomatisiert oder halb? voll wird schwer, woher soll das Kommando den Nutzernamen nehmen? Es ginge natürlich mit %username% auf jedem einzelnen PC im Rahmen eines geplanten tasks, aber den musst Du folglich auch im Nutzerkontext laufen lassen - dazu brauchst Du die Nutzerkennwörter...
@Destry
soweit ich weiss kann der Nutzer nicht uneingeschränkt weiterarbeiten.
Leider nein. Hab ich auch gerade nochmal getestet.@ccube
Diese Batch ließe sich wohl erstellen. Sie müsste ein Logoff absetzen, am besten über psshutdown -o
Zum Test, ob das Konto deaktiviert ist, würde ich das Kommando
net user DeaktivierterUser /domain
nehmen und dann im Output nach dem String
Konto aktiv Nein
suchen lassen.
Wie aber willst Du vorgehen, vollautomatisiert oder halb? voll wird schwer, woher soll das Kommando den Nutzernamen nehmen? Es ginge natürlich mit %username% auf jedem einzelnen PC im Rahmen eines geplanten tasks, aber den musst Du folglich auch im Nutzerkontext laufen lassen - dazu brauchst Du die Nutzerkennwörter...
@dww
warum auf jeden Rechner? Eigentlich sollte es reichen, wenn das Script auf dem TS unter "System" läuft. Denn die User arbeiten wohl alle auf dem Server.
Ich würde die Batchdatei so aufbauen:
Was eben noch ein Problem darstellt, ist 1). Ich weiß im Moment keinen Befehl dafür.
Grüße,
Dani
warum auf jeden Rechner? Eigentlich sollte es reichen, wenn das Script auf dem TS unter "System" läuft. Denn die User arbeiten wohl alle auf dem Server.
Ich würde die Batchdatei so aufbauen:
- Alle angemeldeten TS-User auslesen
- Danach die Einzelheiten wie DWW schon anmerkte mit "net user %user% /domain" ausgeben lassen und gleich auswerten
- If-Abfrage wo den speziellen Parameter "Konto aktiv" überprüft und ggf. ein Logoff absetzt.
- Nächster TS-User einlesen
Was eben noch ein Problem darstellt, ist 1). Ich weiß im Moment keinen Befehl dafür.
Grüße,
Dani
Hi,
Nur aus Interesse: Worauf beziehen sich dein "Leider" und dein "nein"? Darauf. dass er nicht uneingeschränkt weiterarbeiten kann, oder dass er leider doch weiterarbeiten kann?
Ist nicht ganz eindeutig zu interpretieren, jedenfalls nicht für mich, da ich keinen Domänenzugang zum Ausprobieren habe.
Zitat von @DerWoWusste:
@Destry
> soweit ich weiss kann der Nutzer nicht uneingeschränkt
weiterarbeiten.
Leider nein. Hab ich auch gerade nochmal getestet.
@Destry
> soweit ich weiss kann der Nutzer nicht uneingeschränkt
weiterarbeiten.
Leider nein. Hab ich auch gerade nochmal getestet.
Nur aus Interesse: Worauf beziehen sich dein "Leider" und dein "nein"? Darauf. dass er nicht uneingeschränkt weiterarbeiten kann, oder dass er leider doch weiterarbeiten kann?
Ist nicht ganz eindeutig zu interpretieren, jedenfalls nicht für mich, da ich keinen Domänenzugang zum Ausprobieren habe.
Ah ja, ein TS 
steht ja auch oben - hab ich vergessen.
zu 1) psloggedon kann das.
steht ja auch oben - hab ich vergessen.zu 1) psloggedon kann das.
Hast recht, Deutlichkeit ist nötig. Destry hat Unrecht mit seiner Vermutung.
Hi,
ok...ich versuch es mal. Hier die Version 0.1:
Ich konnte es leider nur teilweiße testen...da ich hier grad kein Terminalserver stehen habe. Ich habe jetzt mal den internen "shutdown" Befehl genommen. Sollte auch gehen...
Erklärung zu den einzelnen Zeilen:
3: Mit dem Tool "psloggedon.exe" (Danke an DWW) werden alle aktiven Benutzer der Domäne ausgegeben. Durch die Kombination mit "findstr" wird eine Art Filter gesetzt. Somit werden die Systemaccounts nicht mehr aufgelistet und erzeugen keine Fehler.
4: Einfache Debugausgabe
5: Der Username wird automatisch in den nächsten Befehl eingesetzt. Auch hier wird über den Befehl "findstr" die gewünschten Angaben u filtern. Denn normalweiße werden 30-40 Optionen aufgelistet. Das brauchen wir ja eigentlich alles nicht.
6: Falls der Wert von "Konto aktiv" Nein ist, wird der entsprechende Benutzer ausgeloggt.
Was mir gerade zu Zeile 6 einfällt: Wie können wir den entsprechenden User ausloggen?! Denn mit shutdown.exe wird der aktuelle Benutzer unter dem das Skript läuft, abgemeldet. Gibts dafür vllt. auch ein Tool bei psTools?
Grüße,
Dani
ok...ich versuch es mal.
Hier die Version 0.1:@echo off
for /f "skip=1 delims=\ tokens=2" %%i in ('psloggedon.exe -x -l ^| findstr "NETBIOSNAME DER DOMÄNE"') do (
echo Username: %%i
for /f "tokens=3 delims= " %%w in ('net user %%i /domain ^| findstr /i /b "Konto aktiv"') do (
if /i "%%w" == "Nein" echo shutdown /a /f /t 30
)
echo Naechster Benutzer
)Erklärung zu den einzelnen Zeilen:
3: Mit dem Tool "psloggedon.exe" (Danke an DWW) werden alle aktiven Benutzer der Domäne ausgegeben. Durch die Kombination mit "findstr" wird eine Art Filter gesetzt. Somit werden die Systemaccounts nicht mehr aufgelistet und erzeugen keine Fehler.
4: Einfache Debugausgabe
5: Der Username wird automatisch in den nächsten Befehl eingesetzt. Auch hier wird über den Befehl "findstr" die gewünschten Angaben u filtern. Denn normalweiße werden 30-40 Optionen aufgelistet. Das brauchen wir ja eigentlich alles nicht.
6: Falls der Wert von "Konto aktiv" Nein ist, wird der entsprechende Benutzer ausgeloggt.
Was mir gerade zu Zeile 6 einfällt: Wie können wir den entsprechenden User ausloggen?! Denn mit shutdown.exe wird der aktuelle Benutzer unter dem das Skript läuft, abgemeldet. Gibts dafür vllt. auch ein Tool bei psTools?
Grüße,
Dani
Vielen Dank für euren Input und den eleganten Lösungsansatz.
Werde das Skript gleich mal ausprobieren.
Werde das Skript gleich mal ausprobieren.
Hmmm...
Wenn ich das Skript laufen lasse sehe ich folgendes:
Obwohl noch weitere User angemeldet sind, wird nur der eine Account geprüft. Wenn ich aber den Befehl "psloggedon.exe -x -l" auf dem TS ausführe, zeigt er mir auch die anderen angemeldeten User an.
Für den Logoff denke ich mal ist der Befehl "logoff" am einfachsten...
Wenn ich das Skript laufen lasse sehe ich folgendes:
C:\>for /F "skip=1 delims=\ tokens=2" %i in ('psloggedon.exe -x -l | findstr "Meine Domäne"') do (
echo Username: %i
for /F "tokens=3 delims= " %w in ('net user %i /domain | findstr /i /b "Konto aktiv"') do (if /I "%
w" == "Nein" echo shutdown /a /f /t 30 )
)
loggedon v1.33 - See who's logged on
Copyright ® 2000-2006 Mark Russinovich
Sysinternals - www.sysinternals.com
C:\>(
echo Username: administrator
for /F "tokens=3 delims= " %w in ('net user administrator /domain | findstr /i /b "Konto aktiv"') do (if
/I "%w" == "Nein" echo shutdown /a /f /t 30 )
)
Username: administrator
C:\>(if /I "Ja" == "Nein" echo shutdown /a /f /t 30 )
C:\>(if /I "Nie" == "Nein" echo shutdown /a /f /t 30 )
C:\>Obwohl noch weitere User angemeldet sind, wird nur der eine Account geprüft. Wenn ich aber den Befehl "psloggedon.exe -x -l" auf dem TS ausführe, zeigt er mir auch die anderen angemeldeten User an.
Für den Logoff denke ich mal ist der Befehl "logoff" am einfachsten...
Moin,
wie sieht denn die Ausgabe von deinem "psloggedon.exe -x -l" aus? Ich habe es eben mit einer Domäne versucht.
Grüße,
Dani
wie sieht denn die Ausgabe von deinem "psloggedon.exe -x -l" aus? Ich habe es eben mit einer Domäne versucht.
Grüße,
Dani
C:\>psloggedon.exe -x -l
loggedon v1.33 - See who's logged on
Copyright ® 2000-2006 Mark Russinovich
Sysinternals - www.sysinternals.com
Users logged on locally:
NT-AUTORIT─T\LOKALER DIENST
NT-AUTORIT─T\NETZWERKDIENST
Meine Domäne\TStestUser
Meine Domäne\administrator
NT-AUTORIT─T\SYSTEMHi,
wir haben Nutzer die das Ändern ihres Kennwortes bis auf den letzten Tag schieben. Sie denken dann sie hätten noch den ganzen Tag Zeit. Tatsächlich aber läuft das Kennwort im Laufe des Tages zu einer bestimmten Uhrzeit ab.
Nach dem Ablauf bekommen wir dann den Anruf das der Nutzer z.B. seine Mails nicht mehr lesen oder Dateien abspeichern kann, was eindeutig damit zu tun hat. Das ist keine Vermutung.
Gibt es hier einen Unterschied zwischen abgelaufenem Kennwort und deaktiviertem Konto? Weiss jemand warum?
Gruss,
Destry
Moin,
seltsam...macht eigentlich kein Unterschied. Mach bitte folgendes:
Für nur mal die 1. FOR-Schleife mit dem entsprechenden ECHO aus. Es sollten dann genau 2 Usernamen auftauchen. Denn die NT* werden gefiltert.
Grüße,
Dani
seltsam...macht eigentlich kein Unterschied. Mach bitte folgendes:
Für nur mal die 1. FOR-Schleife mit dem entsprechenden ECHO aus. Es sollten dann genau 2 Usernamen auftauchen. Denn die NT* werden gefiltert.
Grüße,
Dani
Moin destry!
Das ist keine Vermutung
Meins ja auch nicht. Hab es ja wie gesagt geprüft. Nun muss wohl der Schiri entscheiden...C:\>for /F "skip=1 delims=\ tokens=2" %i in ('psloggedon.exe -x -l | findstr "Meine Domäne"') do (
echo Username: %i
)
loggedon v1.33 - See who's logged on
Copyright ® 2000-2006 Mark Russinovich
Sysinternals - www.sysinternals.com
C:\>Nicht gerade viel...
Moin,
es wird vielleicht mehr, wenn du skip rausnimmst:
An Stelle von "Meine Domäne" würde ich es mal mit "VPN" versuchen, im Batch die %-Zeichen verdoppeln.
es wird vielleicht mehr, wenn du skip rausnimmst:
for /F "delims=\ tokens=2" %i in ('psloggedon.exe -x -l ^| findstr "Meine Domäne"') do (echo Username: %i) An Stelle von "Meine Domäne" würde ich es mal mit "VPN" versuchen, im Batch die %-Zeichen verdoppeln.
Hehe, natürlich hab ich anstelle von "Meine Domäne" die effektive Domäne eingetragen - trotzdem MERCI für den hinweis. Der getrennte Befehl funktioniert soweit und listet die angemeldeten User aus meiner Domäne aus.
Hehe, das war mir schon klar, dass "Meine Domäne" ein Alias sein sollte. Da oben stand aber vorher (bevor du es geändert hast, VPN\....., nur deshalb der Hinweis.
Moin,
wie ist der Stand der Dinge cybercube?
War leider im kl. Deutschland unterwegs.
Grüße,
Dani
wie ist der Stand der Dinge cybercube?
War leider im kl. Deutschland unterwegs.
Grüße,
Dani
da bin ich wieder....
Das Skript kann meiner Meinung nach nicht funktionieren, da in der Variabel "%%i" der Wert "Meine Domäne\ TStestUser" gespeichert wird, wobei der Befehl "net user" nur den Usernamen verwenden kann und nicht zusätzlich auch noch die Domäne...
Könnte es auch etwas einfacher gehen mit dem Befehl "net accounts /forcelogoff:5"?
beim ausführen passiert jedoch nicht und der User kann weiter uneingeschränkt weiterarbeiten...
führe ich den befehl falsch aus (gestartet auf dem Terminalserver auf dem der User eingeloggd ist aber die anmeldezeit abgelaufen ist...)?
MERCI
Das Skript kann meiner Meinung nach nicht funktionieren, da in der Variabel "%%i" der Wert "Meine Domäne\ TStestUser" gespeichert wird, wobei der Befehl "net user" nur den Usernamen verwenden kann und nicht zusätzlich auch noch die Domäne...
Könnte es auch etwas einfacher gehen mit dem Befehl "net accounts /forcelogoff:5"?
beim ausführen passiert jedoch nicht und der User kann weiter uneingeschränkt weiterarbeiten...
führe ich den befehl falsch aus (gestartet auf dem Terminalserver auf dem der User eingeloggd ist aber die anmeldezeit abgelaufen ist...)?
MERCI
