none
como descobrir a maq que estou logado ou me deslogar de todas as estacões? RRS feed

  • Pergunta

  • Amigos

    meu login esta sendo bloqueado toda hora pq esqueci ele logado em alguma estação e nao lembro

    como descobrir em qual estação fiquei logado?

    ou como me deslogar de todas as estações?

    Grato
    Almir

     

    segunda-feira, 16 de agosto de 2010 13:34

Respostas

  • Amigo, isso só tem acontecido com o seu login? Nos logs de auditoria não tem uma quantidade relativamente grande de tentaitvas de login com falha? Pergunto porque isso é característica do conficker. Meu login começou a aparecer e travar de máquinas que nunca tinha logado antes.


    Se foi útil, não se esqueça de Marcar como Resposta. Cláudio Costa - http://claudio-costa.blogspot.com
    • Marcado como Resposta Richard Juhasz sexta-feira, 20 de agosto de 2010 14:26
    quarta-feira, 18 de agosto de 2010 01:21
    Moderador
  • Existe um utilitário chamado LanSweeper, muito bom por sinal. Ele verifica toda a rede e traz um tipo de inventário das estações, com nome de computador, hardware, SO e...quem está logado ou quem logou pela última vez na máquina. Creio que com ele você será capaz de indentificar se tem alguma estação logada com seu usuário.

    MCP - MCTS Windows Server 2008 Active Diretory
    • Marcado como Resposta Richard Juhasz sexta-feira, 20 de agosto de 2010 14:26
    quarta-feira, 18 de agosto de 2010 19:53

Todas as Respostas

  • Olá,

    Creio que o PsLoggedOn possa lhe ajudar, verifique:

    http://technet.microsoft.com/en-us/sysinternals/bb897545.aspx

    Lembrando que, o bloqueio de usuário pode ser causador por N motivos, inclusive pelo virus conficker que efetua ataques de força bruta..

    Sugiro a você que certifique-se que o servidor está com todas atualizações instaladas e com o AV Atualizado.

    []s


    Erick Albuquerque
    Blog: http://erickalbuquerque.com.br
    Twitter: @_ealbuquerque
    Linkedin: http://br.linkedin.com/in/easantos
    Winseg.Org
    segunda-feira, 16 de agosto de 2010 13:39
    Moderador
  • Erick,

    o PsLogg, não vai ajudar o Almir, porque ele teria que definir em quais máquinhas ele quer dar query, pra ver se está logado.

    Na verdade ele quer saber se o usuário dele está logado em outro pc, ao mesmo tempo que ele.

    Eu acho que nesse cenário a melhor solução é limitar o login dos usuários pra uma estação apenas, pro 2003 tem a ferramenta chamada LimitLogin > http://technet.microsoft.com/en-us/magazine/2005.05.utilityspotlight.aspx

    E você ainda pode usar o LimitLogin pra ver em quais estações um determinado usuário está logado: http://support.microsoft.com/kb/237282/en-us

    Abs


    JATOBA - Qualquer criança brinca, qualquer criança se diverte! Texto meramente ilustrativo! haushuda
    segunda-feira, 16 de agosto de 2010 14:18
  • Olá,

    Vc tem razão mas o Almirf sendo o ADM não entraria nesta regra do Limit Logon, mesmo que o usuário dele estive preso em outra maquina, o usuário dele não deveria ficar bloqueando a todo momento, por isso citei o conficker..

    []s


    Erick Albuquerque
    Blog: http://erickalbuquerque.com.br
    Twitter: @_ealbuquerque
    Linkedin: http://br.linkedin.com/in/easantos
    Winseg.Org
    segunda-feira, 16 de agosto de 2010 14:22
    Moderador
  • Pode ser,

    mas se fosse, os sintomas seriam para todos os usuários, não só o dele, porque o conficker, testa todos os usuários procurando um Admin, ele não vai de cara no admin e fica testando só ele, porque ele não sabe quem é admin, ja é de praxe renomear a conta administrator.

    O que eu acho mais provável, é que alguém descobriu a senha dele e está usando pra fazer besteiras e depois resetando a senha, ou está tentando pra tentar descobrir as senhas dele, e o threshold de bloqueio de senha nas diretivas dele tá muito baixo, então fica bloqueando.

    Pode ser milhões de coisas.

    abs


    JATOBA - Qualquer criança brinca, qualquer criança se diverte! Texto meramente ilustrativo! haushuda
    segunda-feira, 16 de agosto de 2010 14:26
  • Yep, por isso estamos aqui tentando pensar junto com ele, E chegar na solução correta, mas o nosso bate papo é muito valido, pois acaba ajudando muitas pessoas com este tipo de duvidas!

    Obrigado..!


    Erick Albuquerque
    Blog: http://erickalbuquerque.com.br
    Twitter: @_ealbuquerque
    Linkedin: http://br.linkedin.com/in/easantos
    Winseg.Org
    segunda-feira, 16 de agosto de 2010 14:32
    Moderador
  • Almir, o que eu faço aqui é deixar nos Domain Controllers ativada a auditoria de Account Management. Isso vai registrar nos seus logs de segurança quando a conta for bloqueada e de qual máquina foi bloqueada. Inclusive o desprazer de ter o conficker aqui na rede, este log estorou muito rápido. rsrsr Se for este o caso, você vai descobrir rapidinho.

    Boa sorte!


    Se foi útil, não se esqueça de Marcar como Resposta. Cláudio Costa - http://claudio-costa.blogspot.com
    segunda-feira, 16 de agosto de 2010 14:42
    Moderador
  • Almir, o que eu faço aqui é deixar nos Domain Controllers ativada a auditoria de Account Management. Isso vai registrar nos seus logs de segurança quando a conta for bloqueada e de qual máquina foi bloqueada. Inclusive o desprazer de ter o conficker aqui na rede, este log estorou muito rápido. rsrsr Se for este o caso, você vai descobrir rapidinho.

    Boa sorte!


    Se foi útil, não se esqueça de Marcar como Resposta. Cláudio Costa - http://claudio-costa.blogspot.com

    mas eu nao tenho como instalar nada na maquina do ad, nem manusear ele

    eu so tenho como administrar os usuarios pelo snapin do mmc

    tem como eu verificar quais maquinas os usuarios estao logados mesmo assim ?

    Grato
    Almir

    segunda-feira, 16 de agosto de 2010 16:06
  • Almir, o que eu faço aqui é deixar nos Domain Controllers ativada a auditoria de Account Management. Isso vai registrar nos seus logs de segurança quando a conta for bloqueada e de qual máquina foi bloqueada. Inclusive o desprazer de ter o conficker aqui na rede, este log estorou muito rápido. rsrsr Se for este o caso, você vai descobrir rapidinho.

    Boa sorte!


    Se foi útil, não se esqueça de Marcar como Resposta. Cláudio Costa - http://claudio-costa.blogspot.com

    claudio como eu faço isso ?
    segunda-feira, 16 de agosto de 2010 16:09
  • Almir,

    se não é você o domain admin, é melhor você consultar ele, não fala nenhuma alteração, se você não tem permissão nem de logar no DC.


    JATOBA - Qualquer criança brinca, qualquer criança se diverte! Texto meramente ilustrativo! haushuda
    segunda-feira, 16 de agosto de 2010 17:29
  • Almir,

    se não é você o domain admin, é melhor você consultar ele, não fala nenhuma alteração, se você não tem permissão nem de logar no DC.


    JATOBA - Qualquer criança brinca, qualquer criança se diverte! Texto meramente ilustrativo! haushuda


    eu sou admin sim !!! inclusive consegui me logar no AD

    e agora? como deixar ativada a auditoria de Account Management?

    segunda-feira, 16 de agosto de 2010 17:44
  • Opa, vamos lá,

    Primeiro, se você só tem a sua senha para usar e ela está sendo bloqueada, tenta desbloquear, criar uma conta nova e dar o privilégio de domain admins. Caso sua senha seja travada, você vai ter esta outra para poder trabalhar.

    Você não precisa instalar nada no AD. Mas para ativar esta auditoria, você precisa ter acesso de domain admins e acessar as consoles, Group Policy Management Console, e depois disso o event viewer. Você tem este acesso?

    No Group Policy Management Console:

    Se seu domínio estiver com a configuração padrão, você deve ter um container chamado Domain Controllers, nela tem uma política chamada Default Domain Controllers Policy  Clica com o botão da direita e clica em editar:

    Em Computer Configuration >> Windows Settings >> Security Settings >> Local Policies >> Audit Policy

    Defina a política "Audit Account Managementt" para sucesso. Isso vai registrar nos eventos quando as contas forem travadas ou qualquer outra alteração;

    Defina a política "Audito Account logon events" para sucesso e falha. Isso vai registrar todas as tentativas de logon no seu domínio, inclusive as falhas, e você vai poder visualizar as tentativas que de entrar com suas credenciais e de onde.

    Pronto, agora é só acompanhar o event viewer na parte de Segurança. Vá aprimorando os filtros para facilitar a visualização do evento que você precisa.

    Boa sorte, se precisar, é só "gritar".

    Abraço


    Se foi útil, não se esqueça de Marcar como Resposta. Cláudio Costa - http://claudio-costa.blogspot.com
    segunda-feira, 16 de agosto de 2010 18:24
    Moderador
  • mas eu nao tenho como instalar nada na maquina do ad, nem manusear ele

    eu so tenho como administrar os usuarios pelo snapin do mmc

    tem como eu verificar quais maquinas os usuarios estao logados mesmo assim ?

    Grato
    Almir


    Almir... estranho... olha o que você falou aqui...Mass... vamo lá

    Abre o o gpmc se tiver ele instalado, edita a default domain controller police, ou cria uma nova, e configura, em:

    computer settings > windows settings >  security settings > local settings > auditing police

    Habilita o que você quer.

    abs


    JATOBA - Qualquer criança brinca, qualquer criança se diverte! Texto meramente ilustrativo! haushuda
    segunda-feira, 16 de agosto de 2010 18:27
  • Almir... estranho... olha o que você falou aqui...Mass... vamo lá

    Abre o o gpmc se tiver ele instalado, edita a default domain controller police, ou cria uma nova, e configura, em:

    computer settings > windows settings >  security settings > local settings > auditing police

    Habilita o que você quer.

    abs


    JATOBA - Qualquer criança brinca, qualquer criança se diverte! Texto meramente ilustrativo! haushuda

    Amigo achei aki, mas a estacao aonde ele disse que eu fiquei logado nao bate

    pq nao tem login meu la, inclusive ja loguei e sai de la pra ter certeza e continua bloqueando

    o login ficou preso la?

    terça-feira, 17 de agosto de 2010 20:29
  • Amigo, isso só tem acontecido com o seu login? Nos logs de auditoria não tem uma quantidade relativamente grande de tentaitvas de login com falha? Pergunto porque isso é característica do conficker. Meu login começou a aparecer e travar de máquinas que nunca tinha logado antes.


    Se foi útil, não se esqueça de Marcar como Resposta. Cláudio Costa - http://claudio-costa.blogspot.com
    • Marcado como Resposta Richard Juhasz sexta-feira, 20 de agosto de 2010 14:26
    quarta-feira, 18 de agosto de 2010 01:21
    Moderador
  • Existe um utilitário chamado LanSweeper, muito bom por sinal. Ele verifica toda a rede e traz um tipo de inventário das estações, com nome de computador, hardware, SO e...quem está logado ou quem logou pela última vez na máquina. Creio que com ele você será capaz de indentificar se tem alguma estação logada com seu usuário.

    MCP - MCTS Windows Server 2008 Active Diretory
    • Marcado como Resposta Richard Juhasz sexta-feira, 20 de agosto de 2010 14:26
    quarta-feira, 18 de agosto de 2010 19:53