Benutzername des Users, der den shutdown (reboot) eines Servers initialisiert
Hallo,
ich suche nach einer Möglichkeit ein Script bei den
Gruppenrichtlinien->Computerkonfiguration->Windows-Einstellungen->Herunterfahren (w2k3) auszuführen,
welches mir den Benutzer angibt, der das Herunterfahren ( speziell den Reboot ) initiert hat.
Dieser Benutzername soll dann von einer anderen Anwendung weitevearbeitet werden.
Es sollte so funktionieren, das selbst wenn der reboot über einen Task ausgeführt wird, der Benutzer ausgegeben wird, unter dessen Rechten der Task gestartet wurde.
Ich hatte mir das mit einem einfachen Script vorgestellt.
echo %username% | anwendung.exe
Leider bekomme ich bei diesem Vorgehen nur "SYSTEM" als User.
Eine andere Herangehensweise war, bei Serverstart das komplette Ereignissprotokoll nach dem Wort "Neustart" zu scannen, allerdings führt dies zu einer Startverzögerung von 2-3 Minuten und war somit unpraktikabel.
Weitere Experimente mit dem "last logged on User" per WMI (Win32_LogonSession) brachten keine Lösung.
Hat noch jemand eine Idee?
ich suche nach einer Möglichkeit ein Script bei den
Gruppenrichtlinien->Computerkonfiguration->Windows-Einstellungen->Herunterfahren (w2k3) auszuführen,
welches mir den Benutzer angibt, der das Herunterfahren ( speziell den Reboot ) initiert hat.
Dieser Benutzername soll dann von einer anderen Anwendung weitevearbeitet werden.
Es sollte so funktionieren, das selbst wenn der reboot über einen Task ausgeführt wird, der Benutzer ausgegeben wird, unter dessen Rechten der Task gestartet wurde.
Ich hatte mir das mit einem einfachen Script vorgestellt.
echo %username% | anwendung.exe
Leider bekomme ich bei diesem Vorgehen nur "SYSTEM" als User.
Eine andere Herangehensweise war, bei Serverstart das komplette Ereignissprotokoll nach dem Wort "Neustart" zu scannen, allerdings führt dies zu einer Startverzögerung von 2-3 Minuten und war somit unpraktikabel.
Weitere Experimente mit dem "last logged on User" per WMI (Win32_LogonSession) brachten keine Lösung.
Hat noch jemand eine Idee?
Please also mark the comments that contributed to the solution of the article
Content-Key: 185938
Url: https://administrator.de/contentid/185938
Printed on: April 20, 2024 at 02:04 o'clock
6 Comments
Latest comment
Hi.
Unter der EventID 1074 sieht man den User, der den Shutdown/Reboot tatsächlich durchführt.
Ist aber meist der SYSTEM-User...
Tip:
Um die Zeit der Herunterfahrens genauer zu finden (wenn Du kein Monitoring hast), suche nach EventID 6006. Die beschreibt das Herunterfahren des Eventlogs. Einer der letzten Dienste, die vor den Shutdown heruntergefahren werden
Gruss
Unter der EventID 1074 sieht man den User, der den Shutdown/Reboot tatsächlich durchführt.
Ist aber meist der SYSTEM-User...
Tip:
Um die Zeit der Herunterfahrens genauer zu finden (wenn Du kein Monitoring hast), suche nach EventID 6006. Die beschreibt das Herunterfahren des Eventlogs. Einer der letzten Dienste, die vor den Shutdown heruntergefahren werden
Gruss
Hallo.
Eine andere Herangehensweise war, bei Serverstart das komplette Ereignissprotokoll nach dem Wort "Neustart" zu scannen, allerdings führt dies zu einer Startverzögerung von 2-3 Minuten und war somit unpraktikabel.
Nun, Du kannst die Suche ja auf die letzten Stunden oder den letzten Tag beschränken. Je nachdem, womit Du suchst, geht das per Parameter mit Sicherheit. dumpel.exe kann das beispielsweise.