1
Wie kann man Admin Logins Aus der Domain Auslesen(vom DC)?
Hallo,
Ich habe ein Problem, und zwar würde ich gerne über meine 3 Domaincontroller die Admin Logins tracken/überwachen, heißt egal wo im Netzwerk sich jemand mit einem Admin Nutzer anmeldet wird das festgehalten.
Ich bin auch soweit das ich Stand jetzt ein Skript habe, was mir die Logon Informationen für einen oder mehrere nutzer aus dem eventlog anhand von der ID Nummer 4624 ausließt.
Hierzu ist noch zu sagen, dass das auf meinem Computer wunderbar klappt und auch die Benachrichtigung, die per Telegramm erfolgt, perfekt klappt. Doch das Problem ist, es klappt halt nur auf meinem Computer oder per "-ComputerName $computer" noch auf anderen Computern direkt. Wenn ich Das gleiche Skript auf dem Domaincontroller laufen lasse der ja für die Anmeldungen zuständig ist, ist es egal auf welchem, den ich bekomme immer mehrere logons als eigentliche Anmeldungen teilweise sogar mehrere in derselben Sekunde obwohl ich mich ja nur einmal angemeldet habe.
Den Eventviewer habe ich mir schon angeschaut, wo denn die Unterschiede sind, aber ich finde dort keine. Ich sehe dort nur mehrerer Logon Einträge mit meinem Admin User obwohl es nur ein login gab.
EventViewer auf DC3:
Hier noch die Tests der Skripts:
Normaler Admin PC:
LogonServer war der DC3 ist aber auf den anderen noch weniger zu sehen
DC3:
Teil des Skriptes:
Ist mein Ansatz richtig mit der ID 4624 und wenn ja fehlen vielleicht im Filter noch mehr bis Jetzt ist das im Filter:
-FilterHashtable @{LogName = “Security” StartTime = $StartTime EndTime = $EndTime Id = "4624"}
Oder muss ich die eine etwas anderes Heraus lesen also z.b. den kerberos Eintrag.
Ich würde es gerne per PowerShell lösen und nicht per 3 Anbieter Software und auch wenn es geht nur ein Skript auf den DC's und nicht auf jeder Maschine.
Danke schonmal im vorhin aus für jede Hilfe.
Ich habe ein Problem, und zwar würde ich gerne über meine 3 Domaincontroller die Admin Logins tracken/überwachen, heißt egal wo im Netzwerk sich jemand mit einem Admin Nutzer anmeldet wird das festgehalten.
Ich bin auch soweit das ich Stand jetzt ein Skript habe, was mir die Logon Informationen für einen oder mehrere nutzer aus dem eventlog anhand von der ID Nummer 4624 ausließt.
Hierzu ist noch zu sagen, dass das auf meinem Computer wunderbar klappt und auch die Benachrichtigung, die per Telegramm erfolgt, perfekt klappt. Doch das Problem ist, es klappt halt nur auf meinem Computer oder per "-ComputerName $computer" noch auf anderen Computern direkt. Wenn ich Das gleiche Skript auf dem Domaincontroller laufen lasse der ja für die Anmeldungen zuständig ist, ist es egal auf welchem, den ich bekomme immer mehrere logons als eigentliche Anmeldungen teilweise sogar mehrere in derselben Sekunde obwohl ich mich ja nur einmal angemeldet habe.
Den Eventviewer habe ich mir schon angeschaut, wo denn die Unterschiede sind, aber ich finde dort keine. Ich sehe dort nur mehrerer Logon Einträge mit meinem Admin User obwohl es nur ein login gab.
EventViewer auf DC3:
Hier noch die Tests der Skripts:
Normaler Admin PC:
LogonServer war der DC3 ist aber auf den anderen noch weniger zu sehen
DC3:
Teil des Skriptes:
#Login Abfrage
$Query = Get-WinEvent -FilterHashtable @{LogName = “Security”
StartTime = $StartTime
EndTime = $EndTime
Id = "4624"
}
if($Query) {
$RohdatenLogin = $Query | Select-Object -Property @{Label = 'TimeCreated' ; Expression = {$_.TimeCreated}},
@{Label = 'MachineName' ; Expression = {$_.MachineName}},
@{Label = 'AccountName' ; Expression = {$_.Properties[5].Value}},
@{Label = “TaskDisplayName” ; Expression = {$_.TaskDisplayName}} |
Where-Object { $benutzerListe -contains $_.AccountName }
$Query = ""
$RohdatenLogin | Format-Table -AutoSize -Wrap
}Ist mein Ansatz richtig mit der ID 4624 und wenn ja fehlen vielleicht im Filter noch mehr bis Jetzt ist das im Filter:
-FilterHashtable @{LogName = “Security” StartTime = $StartTime EndTime = $EndTime Id = "4624"}
Oder muss ich die eine etwas anderes Heraus lesen also z.b. den kerberos Eintrag.
Ich würde es gerne per PowerShell lösen und nicht per 3 Anbieter Software und auch wenn es geht nur ein Skript auf den DC's und nicht auf jeder Maschine.
Danke schonmal im vorhin aus für jede Hilfe.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 32464325258
Url: https://administrator.de/contentid/32464325258
Ausgedruckt am: 16.10.2024 um 18:10 Uhr
1 Kommentar
