Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Anmeldestatus von Benutzern im Active Directory speichern

Mitglied: colinardo

colinardo (Level 5) - Jetzt verbinden

09.09.2013, aktualisiert 10.10.2014, 14519 Aufrufe, 2 Kommentare, 9 Danke

Speichern des Anmelde-Status der Benutzer im Active-Directory


1. Beschreibung der Vorgehensweise

Wer vor der Aufgabe steht den aktuellen Status der Benutzer (aktuell angemeldet oder abgemeldet) abzufragen, fragt sich sicherlich zuerst wie und wohin speichere ich diese Daten mit einem Logon/Logoff-Script am besten. Diese Anleitung gibt einen Leitfaden zum Speichern dieser Informationen im Active Directory bzw. im jeweiligen Benutzerobjekt.

Der grobe Ablauf ist folgender: Die Informationen werden jeweils mit einem Anmelde- und Abmeldescript im Kommentarfeld (Tab: Rufnummern) des jeweiligen Benutzerobjekts in folgendem Format abgelegt:
(Nachtrag: Wie man ein anderes Feld für diese Informationen nutzt steht unter Punkt 5 des Beitrags)
Status#[LoggedIn|LoggedOut]#[COMPUTER DISTINGUISHED NAME]#[DATUM ZEIT]
Beispiel:
Status#LoggedIn#CN=VM7-001,CN=Computers,DC=domain,DC=local#06.09.2013 15:30:35
9c17c6e81465ee03368706bba6c863cd - Klicke auf das Bild, um es zu vergrößern

2. Vorarbeiten: Berechtigungen der Nutzer im AD setzen

Damit die Scripte die nötigen Rechte haben die Informationen ins AD zu schreiben, müssen wir den Nutzern Schreibrechte auf das Kommentarfeld ihres Benutzerobjektes gewähren.
Dazu öffnet man den ADSI-Editor auf dem Server mit WIN+R -> ADSIedit.msc. Jetzt navigiert man in den Container in denen sich die User befinden, dann Rechtsklick > Eigenschaften. Im Dialog wechselt man auf den Tab Sicherheit und wählt unten Erweitert.

6bef5156516b81b94173b5887184c884 - Klicke auf das Bild, um es zu vergrößern

Nun fügt man im Dialog einen neuen Eintrag mit dem Benutzer SELBST hinzu, wählt unter "Übernehmen für": Untergeordnete "Benutzer"-Objekte aus, setzt einen Haken bei Zulassen für "Kommentar" schreiben .
Damit erben alle Benutzerobjekte in diesem Container das Recht ihr eigenes Kommentar zu aktualisieren, was für die Scripte benötigt wird. Diesen Vorgang wiederholt man für die Container oder einzelner Benutzer dessen Status man im AD veröffentlichen möchte.

bb5002fdefaa61af5695d7699f6c808f - Klicke auf das Bild, um es zu vergrößern

3. An- und Abmeldeskripte

Nun setzt man in den GPOs der entsprechenden User folgende An- und Abmeldescripte (VBS)

a) Anmeldescript

On Error Resume Next
Set objSysInfo = CreateObject("ADSystemInfo") 
Set objUser = GetObject("LDAP://" & objSysInfo.UserName) 
objUser.put "info","Status#LoggedIn#" & objSysInfo.Computername & "#" & Date() & " " & Time()
objUser.SetInfo

b) Abmeldescript

On Error Resume Next
Set objSysInfo = CreateObject("ADSystemInfo") 
Set objUser = GetObject("LDAP://" & objSysInfo.UserName) 
objUser.put "info","Status#LoggedOut#" & objSysInfo.Computername & "#" & Date() & " " & Time()
objUser.SetInfo
Nach dem routinemäßigen Aktualisieren der GPOs, sollten ab jetzt die An- und Abmeldevorgänge im Benutzerobjekt korrekt hinterlegt werden.
Nun nützen einem die Informationen wenig wenn man sie nicht wieder mit einem Script nutzen kann. Dazu habe ich hier eine Powershell-Funktion geschrieben die diese Daten im AD abfragt und so für Automatisierungsaufgaben nutzbar macht:

4. Abfragen der Status-Daten via Script:

Powershell-Script

param(
    [Parameter(mandatory=$true)][string]$baseDN,
    [Parameter()][string]$filter = "*"
)
    $objUserList = @()
    $objSearch = New-Object System.DirectoryServices.DirectorySearcher 
    $objSearch.PageSize = 100000
    $objSearch.Filter = "(&(objectCategory=User)(objectCategory=Person)(info=*#*#*#*))"
    $objSearch.SearchRoot = "LDAP://$baseDN" 
    $users = $objSearch.FindAll() 
    foreach ($user in $users) { 
    	$itm = $user.GetDirectoryEntry()
        $username = $itm.SamAccountName 
        $info = $itm.info.toString()    
        $details = $info.Split("#")
	$userState = $details[1]
	$userComputer = $details[2]
	$userTime = $details[3]
	$objUserList += new-object PSObject -Property @{"Benutzer" = $userName;"Status" = $userState;"Computer" = $userComputer;"Zeit" = $userTime}
    }
    $objUserList | ?{$_.Benutzer -like $filter} | select Benutzer,Status,Computer,Zeit
Dass Script speichert ihr dann mit der Endung *.ps1, z.B. als Show-UserState.ps1.

Das Script bietet folgende Möglichkeiten:

Beispiel 1: Den Status des Benutzers hmustermann in der OU Vertrieb abfragen
.\Show-UserState.ps1 -baseDN "OU=Vertrieb,dc=domain,dc=local" -filter "hmustermann"
Beispiel 2: Den Status aller Nutzer der Domain anzeigen lassen
.\Show-UserState.ps1 -baseDN "dc=domain,dc=local"
Die Daten werden als Powershell-Objekte ausgegeben dessen Eigenschaften wie "Benutzername,Status,Computer,Zeit" auch separat abgefragt werden können.

Beispiel zum Abfragen des Status für den Benutzer hmustermann
(.\Show-UserState.ps1 -baseDN "dc=domain,dc=local" -filter "hmustermann").Status
Dies gibt dann entweder LoggedIn oder LoggedOut aus.

Hinweis: Es werden natürlich nur die User von der Funktion aufgelistet bei denen ein entsprechend formatierter Eintrag im Kommentarfeld vorhanden ist. D.h die User müssen sich mindestens einmal angemeldet haben.

5. Nutzung eines anderen AD-Feldes für die Speicherung der Informationen

Ist man in der Situation das man ein anderes Feld für die Hinterlegung dieser Informationen nutzen möchte oder muss, kann dies wie folgt geändert werden:

Zuerst müssen wir die Schreib-Berechtigungen wie bereits oben beschrieben auf das jeweilige Feld setzen welches wir dafür nutzen wollen. Als Beispiel wähle ich das frei belegbare Attribut extensionAttribute10

Zur Info: Möchte man ein eigenes Attributes dafür erstellen kann dies in folgender Schritt-für-Schritt Anleitung nachgelesen werden: Erstellen eines neuen Attributes für Benutzerobjekte im Active Directory Schema

447cf73ca90541eaf12d56c65ab3fa9b - Klicke auf das Bild, um es zu vergrößern

Dann muss das AD-Feld in den An- und Abmeldescripten jeweils in Zeile 4 der Scripte angepasst werden:
Beispiel für das Logon-Script und der Nutzung des AD-Feldes extensionAttribute10
objUser.put "extensionAtribute10","Status#LoggedIn#" & objSysInfo.Computername & "#" & Date() & " " & Time() 
Für das Powershell-Script muss dann noch die Zeile 14 des Scriptes durch diese ersetzt werden
$info = $itm.extensionAttribute10.toString() 

6. Hinweise

Was man natürlich beachten sollte ist, das wenn der PC eines Users abstürzt und kein Abmeldevorgang stattgefunden hat auch die Informationen im AD nicht aktuell sind bzw. erst beim nächsten Anmelden wieder aktualisiert werden. Diese Situation ließe sich aber mit einer zusätzlichen PING-Prüfung des zuletzt geloggten PCs beheben.

Selbstverständlich muss die Frage des Datenschutzes dieser Informationen im eigenen Unternehmen geklärt sein bevor man dies so umsetzt.

Hoffe diese Anleitung nützt dem ein oder anderen bei der Realisierung seines Projektes

Grüße @colinardo

Updates
DatumBeschreibung
19.08.2014 Powershell-Funktion für die Verwendung ohne AD-Modul umgeschrieben
Mitglied: Sheogorath
15.11.2013, aktualisiert um 20:34 Uhr
Hallöchen,

Super Arbeit!! Gefällt mir sehr gut, die Idee und auch die Art der Umsetzung. Nur eine Sache würde ich ändern: Du nutzt den Kommentar dafür, aber dieser ist in manchen Firmen belegt durch andere Informationen. Ich würde also vorschlagen, dass man das Ganze auf einen "benutzerdefinierten Wert" legt, diesen kann man dann zwar nicht direkt in der Standard-AD-Übersicht anschauen, aber per Script, macht es keinen Unterschied.

Gruß
Chris
Bitte warten ..
Mitglied: colinardo
15.11.2013, aktualisiert 25.11.2013
Hallo Chris,
schön das es dir gefällt! Hatte hier im Beispiel das Kommentarfeld gewählt damit auch User die nicht so erfahren sind, und die keine Abfrage via Script machen, dies in den Eigenschaften des Userobjektes manuell nachschauen können. Das ändern auf ein benutzerdefiniertes Feld ist ja kein Hexenwerk, werde es aber bei Zeiten hier noch nachpflegen...

Schönes Wochenende
Uwe

--edit 15.11.2013 21:26 -- Beitrag um die Nutzung eines anderen Attributes ergänzt.
Bitte warten ..
Ähnliche Inhalte
Windows Userverwaltung

Default Donwload Directory des IE anpassen

Tipp von emeriksWindows Userverwaltung

Hi, ich hatte heute eine komische Sache geklärt, von der ich denke, dass sie auch Euch interessieren könnte. Bei ...

Sicherheit

Freeware, um Active Directory auf Sicherheitslücken prüfen

Information von DerWoWussteSicherheit

Interessantes Tool, läuft ohne Adminrechte und ist superschnell fertig. Auch der Report ist meiner Ansicht nach sehr gut.

Windows Server

Exchange 2010 Active Directory und Windows Server 2016

Erfahrungsbericht von Herbrich19Windows Server4 Kommentare

Hallo, Ich möchte mal ein wenig drüber berichten wie mein Netzwerk funktioniert. Zum Setup, ich habe ein Windows Server ...

Windows Server

Active Directory ESE Version Store Changes in Server 2019

Information von DaniWindows Server

Moin, Last month at Microsoft Ignite, many exciting new features rolling out in Server 2019 were talked about. But ...

Neue Wissensbeiträge
Internet

Internet-Speedtest Automatisieren via Befehlszeile, cmd, Bash (Windows, Linux, FreeBSD, Mac)

Tipp von anteNope vor 15 StundenInternet3 Kommentare

Also das hier ist irgendwie an mir vorbeigegangen. Einfacher geht es schlicht nicht mehr. Speedtest.cmd Via Aufgabenplanung stündlich oder ...

Administrator.de Feedback

Entwicklertagebuch: Codeblöcke auf unseren Seiten

Information von admtech vor 1 TagAdministrator.de Feedback4 Kommentare

Hallo Administrator User, Unsere Codeblöcke werden ab sofort anders dargestellt. Die Codeblöcke können nun direkt per Copy&Paste kopiert werden. ...

Humor (lol)
Internet - auch 2020 noch Neuland ?
Erfahrungsbericht von Henere vor 1 TagHumor (lol)2 Kommentare

Heute eine Mail der Schule meiner Tochter bekommen. Blabla Umweltschutz bla bla siehe Anhang. Dumm nur: Da hab ich ...

Sicherheit
Diverse Sicherheitsprobleme aus dem Hause Intel
Tipp von DerWoWusste vor 3 TagenSicherheit

Unter anderem muss man mal wieder die Treiber für Intel HD Graphics updaten

Heiß diskutierte Inhalte
Netzwerkmanagement
Werde dauernd aus dem WLAN geworfen (RouterOS)
gelöst Frage von amdkeksNetzwerkmanagement22 Kommentare

Hallo Zusammen, ich habe gestern ein update meiner Mikrotikgeräte gemacht und habe nun überall Version 6.45.5 drauf. Mikrotik Routerboard, ...

Festplatten, SSD, Raid
Größe der Partition lässt sich nicht ändern mit gparted
Frage von achkleinFestplatten, SSD, Raid17 Kommentare

Hallo, ich habe eine 480GB auf eine 1TB-SSD geklont. Jetzt möchte ich den freien Speicherplatz per gparted an die ...

Windows Installation
Installation und Admin-Rechte
Frage von UserUWWindows Installation16 Kommentare

Annahme: UAC ist aktiv, der User ist "normaler" Benutzer. Eine Installation via setup.exe kann man in der Regel auf ...

Sicherheit
Wie Kann Man eine IT-Notfallhandbuch erstellen für petasan
Frage von 142658Sicherheit14 Kommentare

Hallo Leute ich muss bald meine abschlussprojekt schreiben und brauch dringend hilfe wie man ein IT-Notfallhandbuch erstellen für Petasan(eine ...