active directory - Bezug zwischen IP, hostname, User herstellen

Bin derzeit im Urlaub. Melde mich nächste Woche mit meinen Gedanken dazu 😃

Hallo!

Es gibt keinen direkten Bezug zwischen Computer und den Benutzer im AD. Beides sind einfach Objekte feinfacht ausgedrück die dort liegen. Der Computer meldet sich "unsichtbar" an, der User im normalfall interaktiv...

Was geht, aber nicht so einfach ist: Im Eventlog vom DC steht wann sich wer wo angemeldet hat. Das zu analysieren ist aber eine echte Herausforderung, insbesonders wenn man das die Events vernünftig (Sicherheitsbasierend) einschaltet. Das hängt natürlich auch von der große des Netzes ab: habe ich 20 Clients, 5 Server und 2 DCs wird das kein Problem sein.

Ich habe ca. 60.000 Clients in 7 Domänen und 2 Forrests mit einigen 1000 Server. Da kommen 1500 Request pro Sekunde herein.....das ist dann nicht mehr so einfach Abzufragen weil es einfach zu lange dauert (Ausgenommen es gibt einen Sicherheitsverstoß und es müssen die Daten wieder ausgewertet werden).

Aber möglicherweise hilft dir ein andere Ansatz: Du hast einen Clientprogramm das bei Anmeldung des Benutzer läuft (Task) und der meldet die Information an einen Server (Datum, Uhrzeit, Hostname, IP, Username,....)
Damit reduzierst Du die Datenmenge und hast ein schönes Logfile.

lg
Racer

Hi GML,

leider kann man deinem Post nicht entnehmen, was du genau mit den Daten vorhast.

Wir haben früher mal die Info benötigt, welcher User aktuell an welchem Client arbeitet. Hier wurden die entsprechenden Daten per Anmeldescript in eine Datenbank geschrieben.

Falls ihr bereits Azure/ Intune benutzt, lassen sich dort meines Wissens auch diese Daten abgreifen.

Gruß gmmg

Hi GML 👋 ,

also ohne es ausprobiert zu haben, fand ich mit als ersten Suchtreffer folgende Powershell Variante:

LastLogon (Letzter Login) eines Users im AD feststellen per Get-ADUser

Gerade für Administratoren, die in einem Netzwerk mit einer AD-Struktur (Active Direcotry) arbeiten kann es wünschenswert sein, wenn sie relativ schnell

www.windows-faq.de

Get-ADUser -filter * -Properties "LastLogonDate" | select name, LastLogonDate

Also falls ich dich richtig verstehe, könnte dir dies schon helfen. Wenn dem so ist, dann lässt sich die Umsetzung mit AutoIt (und PS) recht einfach machen.
Vielleicht hilft es ja 🤞 . Angenehmen Tag euch allen noch 🌞 .

Update:
Interessant ist auch dieser Artikel dazu https://www.active-directory-faq.de/2021/01/lastlo…logontimestamp/ .

Viele Grüße
Sven

Ich verstehe Deine Frage so: Du willst wissen, welcher User sich auf welchem Gerät wann angemeldet hat. Vom Gerät willst Du IP und/oder Hostname wissen.
Da es scheinbar keinen anderen Weg gab/gibt, haben wir das in der Firma über das Logon-Skript gelöst. Die von Dir gewünschten Informationen wurden in eine Datenbank geschrieben. Jeweils die letzten 5 Logins wurden gespeichert, ältere automatisch gelöscht.
LastLogon und LasstLogonTimestamp bringen leider die IP/Hostname-Information nicht.

Schreibe dir ein kleines Tool, was dann am PC im Autostart oder Loginscript liegt und schreibe deine gewünschten Daten in eine Datenbank (MySQL /MS Access oder sonstige).

Dann hast du diese immer aktuell in der DB vorliegen.

Hier mal ein Beispiel:

#AutoIt3Wrapper_UseX64=y

#include <Array.au3>
#include <Date.au3>
#include <D:\Scripte\MS_AccessCom\Access UDF\Access_UDF.au3>

;--------- MSAccess DB ------------
$dbname = @ScriptDir & "\DB.accdb"

$tblname = "Login"

Local $Connection = _Start_Connection($dbname & ";")

Local $Array_Login = _Get_Records("SELECT * FROM " & $tblname)

_ArrayDisplay($Array_Login)

Local $InsertData = _Insert_Data("INSERT INTO " & $tblname & "([Computer], [IP], [User], [Datum]) VALUES ('" & @ComputerName & "', '"& @IPAddress3 & "', '" & @UserName & "', '" & _Now() & "');")

Local $Array_Login = _Get_Records("SELECT * FROM " & $tblname)
_ArrayDisplay($Array_Login)

_Close_Connection()

Die DB sieht dann so aus.

Die UDF gibt es hier : https://www.autoitscript.com/forum/topic/17…ent-accdb-only/

Gruß gmmg

An sich ein vernüpftiger Vorschlag gmmg, doch ich hatte das Szenario von GML etwas anders verstanden.
Die Datenbank, um bei deinem Beispiel zu bleiben, darf doch dann nicht lokal auf dem Rechner des Users liegen sondern irgendwo im Netz des Unternehmes (nehme ich an).
Wahrscheinlich meinst du dies auch, doch das Beispiel aus Zeile 8 $dbname = @ScriptDir & "\DB.accdb" verwirrt ein wenig.

Also das AutoIt Skript oder das LoginScript muss Zugriff auf die Datenbank (auf eine API (um ein anderes Beispiel vorzuschlagen)) haben, damit dort die Einträge hinterlegt werden können. Ein wenig Gedanken muss man sich dabei jedoch über die Auth. machen, denn die Credentials liegen dann wahrscheinlich auch beim User (nicht im Klartext versteht sich). Oder wenn man über 'ne übliche API-Struktur geht, dann holt man sich mit seinen Windows-Auth-Daten erstmal 'nen Token und nutzt den zur Authentifizierung an der Datenbank (oder an der API) etc.

Nachtrag:
Beim nochmal drüber lesen fällt mir auf, dass es im Prinzip genau das ist was water im post #8 bereits geschrieben hat 😅 , was du allerdings verneint hast GML 🤔 ?

Bin gespannt wie du dich entscheidest bzw. was du vorantreiben möchtest.
Bei Umsetzungsproblemen komm bitte gern auf uns zurück - dies scheint kein Hexenwerk 🧙‍♀️ zu sein 😅 .

Viele Grüße
Sven

Zitat von GML

NIcht so ganz. WANN er angemeldet war ist mir wurst. Ich hätte halt nur gerne einen Namen zur IP/Hostname gehabt (für den Quicktip ..), ob der User jetzt gerade angemeldet ist oder wann er war wäre nicht so wichtig, hauptsache es war der Letzte (sooft wechseln hier die User nicht den PC das das relevant wäre).

Um auswerten zu können, wer zuletzt an einem PC angemeldet war, brauchst Du die Informationen auf jeden Fall an einer zentralen Stelle (entweder in einer Datenbank oder, da Dich ja nur interessiert, wer zuletzt angemeldet war, auf einem Netzwerklaufwerk eine Datei mit dem Hostnamen als Dateiname sowie als Inhalt der Name des zuletzt angemeldeten Benutzers).
Falls Du zur Datenbank tendierst, dann sollte das eine für Client-/Server-Anwendungen geeignete DB sein. Soweit ich weiß, fällt dann Access unter den Tisch.

SOLVE-SMART , ich selbst würde die DB auf ein Netzlaufwerk legen, aber per UNC Server Pfad im Script öffnen.

Das Beispiel hoben habe ich mal aus meinen Scripten zusammen kopiert.

Auch muss man bei @IPAddress schauen ob man die @IPAddress1, @IPAddress2 , @IPAddress3 oder @IPAddress4 benötigt.

Ich habe das mal so auf die schnelle gelöst. geht sicherlich mit Schleife schöner.

;-----get IP -----------------------------------------------------------
IF StringLeft(@IPAddress1,3) = "10." Then $ip = @IPAddress1
IF StringLeft(@IPAddress2,3) = "10." Then $ip = @IPAddress2
IF StringLeft(@IPAddress3,3) = "10." Then $ip = @IPAddress3
IF StringLeft(@IPAddress4,3) = "10." Then $ip = @IPAddress4

Die Umsetzung auf eine MySQL DB / Maria DB /MS-SQL ist auch kein Problem oder wie von water vorgeschlagen in eine Datei schreiben.

Gruß gmmg

Eine Idee hätte ich noch: Du kannst einen Task erstellen mit der Bedingung "beim Anmelden" bzw. "beim Abmelden" ausführen.

%computername% %username% und IP sollte sich leicht ermitteln lassen im Usermode.

Ich habe für eine so ähnlichen Zweck mal eine Client und Server Programm geschriebe das via TCP/IP die Daten schickt und der Server schreibt dann alles in ein einfache Logfile (Datum, Uhrzeit: Daten,....)

lg

Racer