2
Event 4624 - Anmeldung Terminalserver - Quellnetzwerkadresse auslesen und Benutzer bei IP aus falschem Subnet abmelden
Hallo zusammen,
nachdem ich mir schon den ganzen Morgen verschiedene Lösungsansätze angesehen habe, möchte ich einfach mal wieder hier um Hilfe bitten.
Ausgangslage:
2 Terminalserver in einem Subnet 10.X.X.X
Wenn sich nun ein bestimmter Benutzer "TestUser" aus einem anderen Subnet mit dem Terminalserver verbindet, soll dieser wieder abgemeldet werden.
Ziel soll es sein, dass bestimmte User nur aus dem gleichen Subnet wie der Terminalserver angemeldet sein dürfen. Ja, man kann nun über den Sinn und Zweck dieser Übung diskutieren.... bringt mich aber nicht weiter weil es einfach so sein soll ;)
Meine Idee dazu:
Aus dem Security-Event 4624 auf dem TS kann ich sowohl den Benutzer als auch die Quellnetzwerkadresse auslesen und per Aufgabe dann ein Logoffscript starten, dass die Terminalsitzung beendet.
Genau da hängt es im Moment, da ich nicht weiß, wie ich die FIlterung anhand der Quellnetzwerkadresse vornehmen soll. Ich habe verschiedene PowerShell-Möglichkeiten getestet, bekomme es aber nicht hin.
Ablauf soll also ganz einfach aussehen: Wenn User = TestUser und IP-Range ungleich 10.X.X.X dann logoff ... das ist alles^^
Kann wer helfen?
Thx a lot
Marcus
nachdem ich mir schon den ganzen Morgen verschiedene Lösungsansätze angesehen habe, möchte ich einfach mal wieder hier um Hilfe bitten.
Ausgangslage:
2 Terminalserver in einem Subnet 10.X.X.X
Wenn sich nun ein bestimmter Benutzer "TestUser" aus einem anderen Subnet mit dem Terminalserver verbindet, soll dieser wieder abgemeldet werden.
Ziel soll es sein, dass bestimmte User nur aus dem gleichen Subnet wie der Terminalserver angemeldet sein dürfen. Ja, man kann nun über den Sinn und Zweck dieser Übung diskutieren.... bringt mich aber nicht weiter weil es einfach so sein soll ;)
Meine Idee dazu:
Aus dem Security-Event 4624 auf dem TS kann ich sowohl den Benutzer als auch die Quellnetzwerkadresse auslesen und per Aufgabe dann ein Logoffscript starten, dass die Terminalsitzung beendet.
Genau da hängt es im Moment, da ich nicht weiß, wie ich die FIlterung anhand der Quellnetzwerkadresse vornehmen soll. Ich habe verschiedene PowerShell-Möglichkeiten getestet, bekomme es aber nicht hin.
Ablauf soll also ganz einfach aussehen: Wenn User = TestUser und IP-Range ungleich 10.X.X.X dann logoff ... das ist alles^^
Kann wer helfen?
Thx a lot
Marcus
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 281617
Url: https://administrator.de/contentid/281617
Printed on: April 24, 2024 at 19:04 o'clock
2 Comments
Latest comment
Per Powershell Benutzeranmeldung remote finden und abmelden
Die erweiterte Firewall ist ebenfalls dein Freund mit der sich angeben lässt welche Subnetze mit welchen Usern sich anmelden dürfen ... Dann kommt dieser User erst gar nicht auf den Server. Zusätzlich kann man den Usern mitgeben an welchen Workstations/Servern sie sich anmelden dürfen.
Gruß grexit
Die erweiterte Firewall ist ebenfalls dein Freund mit der sich angeben lässt welche Subnetze mit welchen Usern sich anmelden dürfen ... Dann kommt dieser User erst gar nicht auf den Server. Zusätzlich kann man den Usern mitgeben an welchen Workstations/Servern sie sich anmelden dürfen.
Gruß grexit
Moin,
ein EventlogFilter an den man einen Event-Trigger hängen kann, könnte hier so aussehen:
Gruß jodel32
ein EventlogFilter an den man einen Event-Trigger hängen kann, könnte hier so aussehen:
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[System[(EventID=4624)] and EventData[Data[@Name="IpAddress"]="192.168.15.20" and Data[@Name="TargetUserName"]="maxmuster"]]</Select>
</Query>
</QueryList>
