none
PowerShell Logon Script GPO

    Dotaz

  • Ahoj, prosim radu. 

    Chcel by som, aby sa pri prihlasovani do PC, k uyivatelovi do attributu Description pridal Nazov PC kam sa prihlasil. Napr, Uzivatel Tom, sa prihlasi na PC-01, tak sa v jeho 'Description' ukaze nazov PC, kde sa prihlasil. Uzivatel test sa prihlasi na PC-04, tak sa v Deescription u uzivatela test ukaze nazov PC PC-04. Aby bol rychly prehlad, kto sa kde prihlasil. 

    Skusal som jednoduchy PowerShelll script, kde si vytiahnem z premennych Date,UserName,Hostname a Setnem uzivatelovi description, funguje. Problem je, ako toto spravit na PC, kde nie je importovany AD modul. Cize napr. obycajny PC04 nepozna Set-ADUser ...

    úterý 26. března 2019 10:53

Odpovědi

  • psloggedon nevyhovuje?

    osobne bych do logon scriptu dal zapis kombinace cas, username, computername nekam, kam ma uzivatel parvo jen zapisovat, ale ne mazat/menit. SQL, filesystem …

    Take se to da udelat parsovanim centralizovaneho audit logu … to je ale asi moloch

    MP

    • Označen jako odpověď LuLaCeK sobota 30. března 2019 0:15
    úterý 26. března 2019 17:19
    Moderátor

Všechny reakce

  • Chapu spravne, ze ten powershell script se autentikuje k AD tak, ze smi do AD psat? Takze pokud si v SYSVOLu ten script najdu, mam heslo k AD a muzu vesele editovat cokoliv?

    Nebo jinak:
    V jakem uzivatelskem kontextu bezi zmena decsription v AD?

    A dalsi otazka:
    Co se stane, pokud se pripoji uzivatel na vice strojich, typicky vlastni PC a terminalovy server?

    Fakt to nejde delat jinak?

    úterý 26. března 2019 13:00
  • Heslo tam samozrejme nie je a ani nebude. Problem je, ze ked nastavim v GPO Logon Script, tak script sa vzdy spusta pod prihlasenym uzivatelom, co je logicke. To znamena, ze ked sa prihlasim pod delegovanym acc, ktory ma pravo zapisu do AD, tak mi k uzivatelovi do description napise nazov PC, kde sa uzivatel prihlasil. Lenze ked sa prihlasy bezny Domain User, ktory nema ziadne prava, tak script zbehne, ale nezapise, kedze nema opravnenia. Cize informaciu o tom kam sa prihlasil u obycajneho Domain User nemam v description. Rad by som toto nejako vyriesil.

    Staci mi informacia, kedy a kde bol naposledy dotycny prihlaseny. Samozrejme, ze ked sa to da robit inak... uvitam kazdu radu. :)  

    úterý 26. března 2019 16:12
  • psloggedon nevyhovuje?

    osobne bych do logon scriptu dal zapis kombinace cas, username, computername nekam, kam ma uzivatel parvo jen zapisovat, ale ne mazat/menit. SQL, filesystem …

    Take se to da udelat parsovanim centralizovaneho audit logu … to je ale asi moloch

    MP

    • Označen jako odpověď LuLaCeK sobota 30. března 2019 0:15
    úterý 26. března 2019 17:19
    Moderátor
  • Mozno by stacilo do logon skriptu dat:

    echo %computername% %date% >> \\server\share\%username%.txt

    s prislusnymi pravami.

    • Navržen jako odpověď AKapl neděle 14. dubna 2019 7:29
    středa 27. března 2019 9:53
  • Tak nakoniec som output scriptu forwardoval do SQL database. Asi najrozumnejsie riesenie. 

    Vdak za radu, pomoc. 

    sobota 30. března 2019 0:15
  • Používám toto. není to sice PowerShell, ale funguje to. Přišlo mi to takové elegantnější než měnit atributy a zůstává historie.

    :: ================= Logon stamp START =================
    
    for /f "tokens=2 delims==" %%a in ('wmic OS Get localdatetime /value') do set "dt=%%a"
    set "YY=%dt:~2,2%" & set "YYYY=%dt:~0,4%" & set "MM=%dt:~4,2%" & set "DD=%dt:~6,2%"
    set "HH=%dt:~8,2%" & set "Min=%dt:~10,2%" & set "Sec=%dt:~12,2%"
    set "fullstamp=%YYYY%-%MM%-%DD% %HH%:%Min%:%Sec%"
    
    echo %fullstamp%,%UserName%,%ComputerName% >>\\network_share\logfiles$\AD\LogInfo_%UserName%.log
    
    :: ================= Logon stamp END =================
    

    čtvrtek 11. dubna 2019 7:14
  • A jak jsem psal, uzivatel musi mit jen pravo append … coz si nejsem jist, zda cmd/echo >> umi

    MP

    čtvrtek 11. dubna 2019 7:56
    Moderátor
  • Podobnym stylom som to tiez spravil len s tym, ze z databaze to este zapisujem do AD (Jednoduchy script v task scheduleri na DB hostovi, ktory sa vzdy spusta v nejakych intervaloch, u mna 5 min a ak je zmena, zapise do AD). Cize v AD mam aktualnu informaciu, kedy a kam sa clovek prihlasil/odhlasil + mam v DB archiv LogIn/LogOff. 

    Uzivatel ma len pravo zapisu na share, takze ziadne 'Hard-Core' opravenie na strane Usera som nemusel riesit. 

    čtvrtek 11. dubna 2019 13:53