none
powershell AD lister les utilisateurs déplacés ou désactivés les 2 derniers jours RRS feed

Réponses

  • Bonjour,

    Pour ce qui concerne le déplacement d'un utilisateur, il faut déjà vérifier les GPO qui s'appliquent aux contrôleurs de domaine. L'audit des évènements 'Directory Access' doit être activé.

    Ensuite, le déplacement d'un utilisateur génère un évènement 5139 (https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventid=5139) dans le journal de sécurité. Cet évènement contient l'ancien et le nouveau 'DistinguishedName' de l'utilisateur.

    Cet évènement est enregistré dans le journal 'Security' du contrôleur de domaine qui a validé l'opération. Il faut donc interroger tous les contrôleurs de domaines.

    Par exemple :

    get-eventlog -LogName security -InstanceId  5139 -ComputerName (get-addomain | select -expand ReplicaDirectoryServers)

    Cordialement,

    Yann Gainche MVP Cloud and Datacenter Management http://www.gainche.net

    vendredi 10 juin 2016 09:22

Toutes les réponses

  • Bonjour,

    Pour ce qui concerne le déplacement d'un utilisateur, il faut déjà vérifier les GPO qui s'appliquent aux contrôleurs de domaine. L'audit des évènements 'Directory Access' doit être activé.

    Ensuite, le déplacement d'un utilisateur génère un évènement 5139 (https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventid=5139) dans le journal de sécurité. Cet évènement contient l'ancien et le nouveau 'DistinguishedName' de l'utilisateur.

    Cet évènement est enregistré dans le journal 'Security' du contrôleur de domaine qui a validé l'opération. Il faut donc interroger tous les contrôleurs de domaines.

    Par exemple :

    get-eventlog -LogName security -InstanceId  5139 -ComputerName (get-addomain | select -expand ReplicaDirectoryServers)

    Cordialement,

    Yann Gainche MVP Cloud and Datacenter Management http://www.gainche.net

    vendredi 10 juin 2016 09:22
  • Plus d'info sur les événements:

    https://technet.microsoft.com/en-us/library/dn535498.aspx

    Un petit article sur l'audit :

    http://pbarth.fr/node/136.


    vendredi 10 juin 2016 12:59
  • Bonjour,

    merci beaucoup,

    désolé pour le retard, mais c'est un peu le feu en ce moment

    je vais regarder de ce côté là

    mardi 14 juin 2016 06:15
  • Bonjour,

    merci pour ces renseignements, je vais regarder

    mardi 14 juin 2016 06:16