powershell AD lister les utilisateurs déplacés ou désactivés les 2 derniers jours

Toutes les réponses

• 

  

  3

  Connectez-vous pour voter

  Bonjour,

  Pour ce qui concerne le déplacement d'un utilisateur, il faut déjà vérifier les GPO qui s'appliquent aux contrôleurs de domaine. L'audit des évènements 'Directory Access' doit être activé.

  Ensuite, le déplacement d'un utilisateur génère un évènement 5139 (https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventid=5139) dans le journal de sécurité. Cet évènement contient l'ancien et le nouveau 'DistinguishedName' de l'utilisateur.

  Cet évènement est enregistré dans le journal 'Security' du contrôleur de domaine qui a validé l'opération. Il faut donc interroger tous les contrôleurs de domaines.

  Par exemple :

  get-eventlog -LogName security -InstanceId  5139 -ComputerName (get-addomain | select -expand ReplicaDirectoryServers)

  Cordialement,

  ---

  Yann Gainche MVP Cloud and Datacenter Management http://www.gainche.net

  • Proposé comme réponse Philippe BarthMVP vendredi 10 juin 2016 12:59
  • Marqué comme réponse cagliostro69000 mardi 14 juin 2016 06:40

  vendredi 10 juin 2016 09:22

  Réponse

  |

  Citation
• 

  

  1

  Connectez-vous pour voter

  Plus d'info sur les événements:

  https://technet.microsoft.com/en-us/library/dn535498.aspx

  Un petit article sur l'audit :

  http://pbarth.fr/node/136.

  
  

  • Modifié Philippe BarthMVP vendredi 10 juin 2016 12:59

  vendredi 10 juin 2016 12:59

  Réponse

  |

  Citation
• 

  

  0

  Connectez-vous pour voter

  Bonjour,

  merci beaucoup,

  désolé pour le retard, mais c'est un peu le feu en ce moment

  je vais regarder de ce côté là

  mardi 14 juin 2016 06:15

  Réponse

  |

  Citation
• 

  

  0

  Connectez-vous pour voter

  Bonjour,

  merci pour ces renseignements, je vais regarder

  mardi 14 juin 2016 06:16

  Réponse

  |

  Citation