获取所有域用户的登陆历史信息脚本

最新推荐文章于 2024-05-15 00:25:10 发布
最新推荐文章于 2024-05-15 00:25:10 发布
阅读量1.5k 收藏 4
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Fly_hps/article/details/89635938
版权

This script will list the AD users logon information with their logged on computers by inspecting the Kerberos TGT Request
Events(EventID 4768) from domain controllers. Not Only User account Name is fetched, but also users OU path and Computer 
Accounts are retrieved. You can also list the history of last logged on users. In Environment where Exchange Servers are 
used, the exchange servers authentication request for users will also be logged since it also uses EventID (4768) to for 
TGT Request. You can also export the result to CSV file format. Powershell version 3.0 is needed to use the script.
You can Define the following parameters to suite your need:

-MaxEvent  Specify the number of all (4768) events to search for TGT Requests. Default is 1000.           
-LastLogonOnly Display only the history of last logon users.                    
-OuOnly   Do not display the full path of users/computers. Only OU is displayed.

Author: phyoepaing3.142@gmail.com                           
Country: Myanmar(Burma)                              
Released Date: 08/29/2016

Example usage:                       
.\Get_AD_Users_Logon_History.ps1 -MaxEvent 800 -LastLogonOnly -OuOnly

Example usage:                       
.\Get_AD_Users_Logon_History.ps1 -MaxEvent 800 -LastLogonOnly -OuOnly

EXAMPLE
.\Get_AD_Users_Logon_History.ps1 -MaxEvent 500 -LastLogonOnly -OuOnly
This command will retrieve AD users logon within 500 EventID-4768 events and show only the last logged users with their
related logged on computers. Only OU name is displayed in results.

EXAMPLE
.\Get_AD_Users_Logon_History.ps1 | Export-Csv Users_Loggedon_History.csv
This command will retrieve AD users logon within default 1000 EventID-4768 events and export the result to CSV file.

Fig-1: Showing Last Logon History with Users and Computer Accounts

Fig-2: Get All Users Logon History

Get_AD_Users_Logon_History.ps1代码:

<#
.SYNOPSIS
Script that will list the logon information of AD users.

.DESCRIPTION
This script will list the AD users logon information with their logged on computers by inspecting the Kerberos TGT Request
Events(EventID 4768) from domain controllers. Not Only User account Name is fetched, but also users OU path and Computer 
Accounts are retrieved. You can also list the history of last logged on users. In Environment where Exchange Servers are 
used, the exchange servers authentication request for users will also be logged since it also uses EventID (4768) to for 
TGT Request. You can also export the result to CSV file format. Powershell version 3.0 is needed to use the script.
You can Define the following parameters to suite your need:																					
-MaxEvent		Specify the number of all (4768) events to search for TGT Requests. Default is 1000.											
-LastLogonOnly	Display only the history of last logon users.																				
-OuOnly			Do not display the full path of users/computers. Only OU is displayed.														
Author: phyoepaing3.142@gmail.com																											
Country: Myanmar(Burma)																														
Released Date: 08/29/2016

Example usage:																					  
.\Get_AD_Users_Logon_History.ps1 -MaxEvent 800 -LastLogonOnly -OuOnly

.EXAMPLE
.\Get_AD_Users_Logon_History.ps1 | Format-Table * -Auto
This command will retrieve AD users logon within default 1000 EventID-4768 events and display the results as table.

.EXAMPLE
.\Get_AD_Users_Logon_History.ps1 -MaxEvent 500 -LastLogonOnly -OuOnly
This command will retrieve AD users logon within 500 EventID-4768 events and show only the last logged users with their
related logged on computers. Only OU name is displayed in results.

.EXAMPLE
.\Get_AD_Users_Logon_History.ps1 | Export-Csv Users_Loggedon_History.csv
This command will retrieve AD users logon within default 1000 EventID-4768 events and export the result to CSV file.

.PARAMETER MaxEvent
This paraemeter will specify the number of EventID-4768 events to look for.

.PARAMETER LastLogonOnly
This paraemeter will display the history of last logged on users in descending order.

.PARAMETER OuOnly
This paraemeter will show only the OU names for users/computers but not the full path.

.LINK
You can find this script and more at: https://www.sysadminplus.blogspot.com/
#>

param( [switch]$LastLogonOnly,[switch]$OuOnly,[int]$MaxEvent=1000)
############## Find EventID 4768 with user's requesting Kerberos TGT, skipping Exchange Health Mailbox request and extracting  Users/Client names,IP Addresses ####
$Domain = (Get-WmiObject Win32_Computersystem).domain
$read_log={
Param ($MaxEvent,$OuOnly,$Domain)																					## Define parameter to pass maxevent to scripblock
$EventInfo=Get-WinEvent -FilterHashTable @{LogName="Security";ID=4768} -MaxEvents 200000  | select -first $MaxEvent | where {$_.Message -notmatch "SM_" } | where { $_.Message -notmatch "\$" } | 
 select @{N="Authenticated DC";Exp={$_.MachineName}}, 
 @{N="LoggedOn Time";Exp={$_.TimeCreated}}, 
 @{N="User"; Exp={ $SplitAccountName=(($_.Message -Split "\n") -match "Account Name") -split ':';$SplitAccountName[$SplitAccountName.Length-1].Trim() }}, 
 @{N="User Location";Exp={}}, @{N="Workstation";Exp={}}, 
 @{N="IP Address"; Exp={if((($_.Message -split "\n") -match "Client Address:").Trim() -match "::1" ) {"localhost"} 
 else { $SplitClientAddress=(($_.Message -Split "\n") -match "Client Address") -split ':'; $splitClientAddress[$splitClientAddress.Length-1].Trim() }}}, 
 @{N="Computer Location";Exp={}}

$EventInfo | foreach {
$IPAddress=$_."Client Address"

if ($_."IP Address" -eq "localhost")
{ $Client_Name=[system.net.dns]::GetHostbyName($env:computername).hostname }
else
{ 
###### Resolve the PTR record to find AD computer information ################
		#$Client_Name=(Resolve-DnsName $_."IP Address").NameHost
		if ((Resolve-dnsname $_."IP Address" -Type PTR -TcpOnly -DnsOnly -ErrorAction "SilentlyContinue").Type -eq "PTR")
		{ 
		$Client_Name = (Resolve-dnsname $_."IP Address" -Type PTR -TcpOnly -DnsOnly).NameHost  
		
		}
		else
		{ $Client_Name = "NOT FOUND" }

}
## $_."Authenticated DC"=($_."Authenticated DC" -split "."+$Domain)[0]  ##Uncomment this line if you want to strip off domain name in "Authenticated DC" list
$user=$_.user
############# Find the User account in AD and if not found, throw and exception ###########
$Full_User_Property=0
	Try																									## Need Try statement to test and surpress error
	{
	$Full_User_Property = (Get-AdUser $_.user -Properties *)
	$_."User Location" = $Full_User_Property.CanonicalName.TrimStart($Domain).SubString(1)
	}
	catch
		{ } 																							## The $_."User Location" is not passed to catch statement thus needing another below statement to set value"
If (!$Full_User_Property)
	{ $_."User Location"="NOT FOUND"  }
$Full_User_Property=0

If($OuOnly -AND ($_."User Location" -ne "NOT FOUND"))
{
$_."User Location"= $_."User Location".Remove($_."User Location".LastIndexOf("/"))						##Trim the last user name part if -OuOnly flag is set
}

$_."Workstation"=($Client_Name -split "."+$Domain)[0]													## remove the domain suffix
########## Find the Computer account in AD and if not found, throw an exception ###########
$Full_Workstation_Property = 0
	Try
		{
		$Full_Workstation_Property = Get-AdComputer $_."Workstation" -Properties *
		$_."Computer Location"= $Full_Workstation_Property.CanonicalName.TrimStart($Domain).SubString(1)
		}
	catch
		{ }
########## Here the catch exception does not work in Invoke session so we need to manually set the "NOT FOUND" value ######
If (!$Full_Workstation_Property)
	{ $_."Computer Location" = "NOT FOUND"}
$Full_Workstation_Property=0

If ($OuOnly -AND ($_."Computer Location" -ne "NOT FOUND"))																							##Trim the last computer part if -OuOnly flag is set
	{
		$_."Computer Location"=$_."Computer Location".Remove($_."Computer Location".LastIndexOf("/"))
	}
Return $_
}
}

########### Job starts to query replica domain controllers #############
$result=@()
$RemoteJob=@()                                                           						       ## Make array of remote jobs

$DomainControllers = (Get-ADDomainController -Filter  { isGlobalCatalog -eq $true -or isGlobalCatalog -eq $false}).Name
############### Start the Local Job and Remote Job to find the event id ################
$LocalJobExists=0
If ($DomainControllers -contains $(hostname))															## Check if the computer running the script is Domain Controller itself
{
$LocalJob = Start-Job -scriptblock $read_log -ArgumentList $MaxEvent,$OuOnly,$Domain;$LocalJobExists=1	## If so, start job to query local domain controller
}

$DomainControllers | where {$_ -ne $(hostname)} | foreach {												## Start remote jobs on each other domain controllers
	$RemoteJob+= Invoke-Command -ComputerName $_ -ScriptBlock $read_log -ArgumentList $MaxEvent,$OuOnly,$Domain -AsJob  
	}

If ($LocalJobExists)
	{
	$result = $LocalJob | Wait-Job | Receive-Job; Remove-Job $LocalJob									## If the computer running the script is not a domain controller(may be RSAT installed), then all jobs will be remote jobs
	}

$RemoteJob | foreach { $result+=$_ | Wait-Job | Receive-Job ; Remove-Job $_}							## Wait and Receive remote jobs on each remote DCs and add to Local job result

If ($LastLogonOnly)
	{
		$result | Sort-Object "LoggedOn Time" -Descending | Group-Object User | foreach { $_ | Select -ExpandProperty Group | select * -First 1 -ExcludeProperty PsComputerName,RunSpaceID,PsShowComputerName }   ## the Last LoggedOn time of Each User
	}
else
	{
		$result | Sort-Object "LoggedOn Time" -Descending | Select * -ExcludeProperty PsComputerName,RunSpaceID,PsShowComputerName  ## Normal Results
	}

已在以下平台上进行验证

 

FLy_鹏程万里
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
计算机日志查询用户登录记录,用户权限|查看日志
weixin_42480812的博客
07-02 3718
用户权限|查看日志。如果委派特定用户查看DC的系统日志?回答:根据您的描述,我对这个问题的理解是:您想指定特定的用户允许查看DC上的事件日志。根据我的研究,要允许特定用户访问控制器上的事件日志,请使用以下步骤:1. 以管理员身份登陆控制器。2. 打开文件%windir%\inf\Sceregvl.inf,加入以下内容到[Strings]之上:MACHINE\System\CurrentCo...
如何查看用户登录的计算机
Ms08067安全实验室
02-19 4268
在内网渗透的过程中,经常会遇到需要查看用户登陆了哪些机器,目前我们收集整理了三种方法,给大家分享出来。使用vbs脚本来查询' Script for getting curren...
[笔记] 用户登录自动记录计算机名称到备注栏
wendr的博客
03-26 557
Windows Server - 运维篇 第二章 用户登录自动记录计算机名称到备注栏
windows安全事件ID编号解释大全
热门推荐
hanzhen668的博客
09-14 2万+
windows安全事件ID编号解释大全
如何查看用户登陆的时间?
瞎几把学
11-12 8486
如何查看用户登陆的时间? 服务器是windows server 2003,客户机是windows xp,用户都是用户。想在服务器上查看用户每次登入的时间。哪位同仁有办法? 回答:您好!您需要在服务器上查看用户每次登入的时间,可以通过在服务器上开启审核登录事件的方法实现。具体设置如下: 1. 开始->管理工具->控制器安全策略->本地策略->审核策略->审核登录事件->选择“成功”选项, 关闭“控制器安全策略”管理单元。 2. 在命令行提示符窗口中,输入“GPUDATE/FORCE”
【转载】Windows AD 筛选用户登录认证记录
Young的博客
09-05 3787
问题: 今天有一个第三方系统认证接入的是Windows的AD,下午突然所有人都不能登录系统,需要排查一个问题所在。 操作记录: 登录Windows AD服务器,打开Windows AD服务器的【事件查看器】——》【Windows日志】——》【安全】;点击右侧的【筛选当前日志】,然后如下选择筛选条件: 选择【记录时间】缩小筛选的范围,在【所有事件ID】总填写“4624”(登录认证的时间ID...
查询ad计算机最后登录用户名,检索通过AD登录的计算机名称admin帐户
weixin_42500818的博客
06-15 1637
如何检索管理员帐户登录的Active Directory中的计算机名称及其IP地址?检索通过AD登录的计算机名称admin帐户我可以检索本地管理员帐户与我下面的脚本:function get-localadministrators {param ([string]$computername=$env:computername)$computername = $computername.touppe...
iisadmpwd windows用户web密码更改asp源码
12-27
6. **安全性考虑**:由于涉及到用户的敏感信息,源码必须保证安全。例如,密码不应在明文中传输或存储,而是使用加密机制。同时,应防止SQL注入等攻击。 7. **用户体验**:IISADMPWD的界面设计应该简洁易用,用户只...
jquery使用Cookie和JSON记录用户最近浏览历史
10-22
Cookie通常用于记录用户的会话状态、个性化设置、用户偏好和浏览历史信息。在本文中,我们主要利用Cookie来记录用户的浏览文章历史。 2. jQuery Cookie插件的介绍和使用: jQuery Cookie插件为操作Cookie提供了...
高铁用户行为分析代码.rar_IGY_用户行为分析_移动通信B高铁用户行为分析代码_高铁_高铁用户
09-23
通过对B详单的分析,我们可以获取到大量用户的行为数据,如通话时长、短信数量、数据流量使用情况、活跃时段等。这些数据是洞察用户行为的基础。 用户行为分析通常涉及以下几个关键步骤: 1. 数据采集:首先,...
环境登录脚本实现硬件信息用户登录信息统计(SQL)
08-16
通过登录脚本 实现 把计算机硬件信息(可以加上软件和安装补丁等)、登录信息用户信息 统计到sql数据库,方便查询 那些用户登录了什么机器,那些机器的硬件设备有变动可以辅助考勤和安全查询, 文件包括了:登录脚本,注销脚本,SQL生产脚本以及简要说明。 主要技术: SQL数据查询,WMI/VBS 脚本应用,组策略配置。
渗透.pdf
08-23
3. **确定目标IP**:通过`net user`命令结合`eventquery.vbs`脚本导出登录日志,分析用户登录历史并确定目标IP地址。 **注意事项**: - 在使用`PsExec`时,需注意它可能在某些情况下导致服务删除失败的问题,因此...
如何跟踪用户登录和注销
04-07
在IT管理领,跟踪用户登录和注销是至关重要的任务,特别是在企业环境中,这有助于监控系统安全、审计合规性以及优化资源使用。PowerShell是一种强大的脚本语言,特别适合执行此类自动化任务。本篇文章将深入探讨...
内网渗透之信息收集
nigo134的博客
05-08 1385
01、判断是否存在 (1)一般我们在进行本机信息收集,查询IP网络或系统信息时,就很容易发现存在控。 ipconfig/all命令 systeminfo命令 (2)查看当前登录用户 netconfigworkstation (3)服务器都会同时作为时间服务器,所以使用下面命令判断主。 运行nettime/domain该命令后,一般会有如下三种情况: 1.存在,但当前用户不是用户,提示说明权限不够 C:\Users&...
账号登录信息仍然存储在计算机中 如何清除干净
weixin_35755823的博客
02-16 2592
要清除计算机中的账号登录信息,可以按照以下步骤操作: 以管理员身份登录计算机。 打开“控制面板”并选择“用户账户”。 在用户账户界面中,选择“凭据管理器”。 在凭据管理器中,选择“Windows 凭据”。 找到存储账号登录信息的凭据并选择它。 单击“删除”按钮,以删除该凭据。 执行以上步骤后,计算机中存储的账号登录信息就会被清除干净了。需要注意的是,这将导致需要重新输入账号的登录凭据才...
如何计算用户登录到计算机的次数?
sanshow的技术专栏
10-24 1876
 问:您好,脚本专家!如何计算用户登录到计算机的次数?-- DE答:您好,DE。您是如何计算用户登录到计算机的次数?问得好,但最终的回答可能是:没办法计算。不过,我们至少可以对一些可能的解决方法进行研究,看其中的某些方法是否有助于解决问题。首先,我们要弄清楚登录到计算机和登录到之间的区别。如果运行了 Active Directory,就可以确定用户登录到的次
使用组策略和vbs脚本实现用户首次登录绑定计算机并获取计算机当前登录的用户信息
Junson142099的博客
07-14 4428
公司有这样的一个需求,要求实现用户只能在自己的电脑上进行本地登录。受其他文章启发,可以使用组策略和vbs脚本来实现。 但是难的地方在于我们并没有用户和计算机名的对应关系,一个个收集再手动设置的话太过于繁琐了,就算有,后面入职的新员工也得手动设置,太麻烦了。 受以下文章启发,可以使用组策略和vbs脚本来实现,让组策略把vbs脚本设置成登录脚本脚本读取当前用户和计算机,将相关属性写入到ad中,感谢这位博主! 如果有公共机需要让.....................
内密码抓取技术
Y22Lee的博客
05-15 1265
从Windows XP SP2和Windows Server 2003开始,微软就向Windows操作系统中引入了一项名叫卷影拷贝的服务(Volume Shadow Copy Service-VSS)。这种服务允许Windows系统以自动或手动的方式对文件或磁盘卷宗的当前状态进行备份(或快照),需要注意的是,在这个过程中,即使。
毕业设计asp.net投票管理系统三层-qkr源码含文档工具包
最新发布
08-15
毕业设计asp.net投票管理系统三层-qkr源码含文档工具包 asp.net,数据库sqlserver,开发工具用Microsoft Visual Studio 在线投票系统 投票结果 投票结果 投票人数 如修改 投票项目 编辑删除 用户登陆 权限管理 帐户管理 包含:源码、数据库脚本、论文、答辩ppt、环境工具包(在说明文档中)
客户端XSS漏洞探索:从历史案例到防御策略
在网络安全中,XSS攻击是一种常见的攻击手段,攻击者通过注入恶意脚本用户信任的网页,进而窃取用户的敏感信息,如cookies。描述中的"一切输入都是有害的"提醒我们,对任何用户输入的数据都需要进行严格的过滤和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

FLy_鹏程万里

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值