pablovic
Goto Top

Eventlog gesperrtes Konto, Konto als Parameter übergeben

Hallo

Ich arbeite gerade daran, dass ich ein Email bekomme, wenn ein Benutzerkonto gesperrt wird.
Die Konten werden bei uns, Win 2012 R2, gesperrt wenn sich jemand mehrmals mit falschem Passwort versucht anzumelden.

Jetzt hab ich in der Aufgabenplanung ein Task definiert der beim Event 470 ein Programm startet.
Das Programm ist ein Batch der mit Blat.exe ein Email rausschiesst.

Ich suche jetzt eine Möglichkeit, das Konto beim Aufruf als Parameter mitzugeben, damit ich gleich sehe welcher Benutzer gesperrt wird.
Weiss jemand wie ich das aus dem Eventlog rauskriege?

Oder wie macht ihr das?

Batch sieht so aus:

"C:\Program Files (x86)\Blat\blat" -t ict@domain.tld -f server@domain.tld -server mailserver.domain.tld -s An_Account_has_been_locked -body Account_is_locked  

Danke

Pablo

Content-Key: 317420

Url: https://administrator.de/contentid/317420

Ausgedruckt am: 19.03.2024 um 05:03 Uhr

Mitglied: 131026
131026 11.10.2016 aktualisiert um 11:06:44 Uhr
Goto Top
Task als XML exportieren, Variablen der XML hinzufügen und wieder importieren
Wie kann ich per Aufgabenplanung einen Wert an ein Script übergeben

R.
Mitglied: DerWoWusste
Lösung DerWoWusste 11.10.2016 um 11:29:15 Uhr
Goto Top
Hi.

Wir machen das so: auf dem DC einen Notify-Lockout-Task einrichten, der von dem Lockoutevent getriggert wird.
Aktion des Tasks ist ein Powershellskript:
$Event = Get-EventLog -LogName Security -InstanceId 4740 -Newest 1
$MailBody= $Event.Message + "`r`n`t" + $Event.TimeGenerated  

$MailSubject= "Nutzerkonto gesperrt!"  
$SmtpClient = New-Object system.net.mail.smtpClient
$SmtpClient.host = "Mailserver.domain.local"  
$MailMessage = New-Object system.net.mail.mailmessage
$MailMessage.from = "DCName@domain.local"  
$MailMessage.To.add("syslog@domain.local")  
$MailMessage.IsBodyHtml = 0
$MailMessage.Subject = $MailSubject
$MailMessage.Body = $MailBody
$SmtpClient.Send($MailMessage)

Da wird also eine Mail an die Verteilergruppe syslog geschickt. Will man dann als Admin auch sehen, ob sich jemand darum gekümmert hat, richtet man einen zweiten Task ein: Notify unlock, der bei einem unlock-Event getriggert wird mit folgendem Skript:
$Event = Get-EventLog -LogName Security -InstanceId 4767 -Newest 1
$MailBody= $Event.Message + "`r`n`t" + $Event.TimeGenerated  

$MailSubject= "Nutzerkonto wurde entsperrt!"  
$SmtpClient = New-Object system.net.mail.smtpClient
$SmtpClient.host = "Mailserver.domain.local"  
$MailMessage = New-Object system.net.mail.mailmessage
$MailMessage.from = "DCName@domain.local"  
$MailMessage.To.add("syslog@domain.local")  
$MailMessage.IsBodyHtml = 0
$MailMessage.Subject = $MailSubject
$MailMessage.Body = $MailBody
$SmtpClient.Send($MailMessage)
Mitglied: Dani
Dani 11.10.2016 um 18:51:44 Uhr
Goto Top
Abend @DerWoWusste,
auf dem DC einen Notify-Lockout-Task einrichten,
genauer gesagt: Auf dem Domain Controller welcher die FSMO-Rolle PDC hält.


Gruß,
Dani
Mitglied: DerWoWusste
DerWoWusste 11.10.2016 um 18:59:58 Uhr
Goto Top
Verteile den Task doch sicherheitshalber an alle DCs per Gpo.
Mitglied: Dani
Dani 12.10.2016 um 21:03:07 Uhr
Goto Top
Moin,
ich hab heut nochmals mit den AD-Jungs gesprochen. Sollte der PDC-Emulator nicht verfügbar sein, wird es auf dem jeweiligen DC protokolliert.
Daher hast du natürlich recht.


Gruß,
Dani
Mitglied: DerWoWusste
DerWoWusste 13.10.2016 um 09:35:58 Uhr
Goto Top
Hi Dani.

Das Sperr-Event wird immer auf allen DCs geloggt, somit erhält man doppelte Mails, wenn man diesen Task auf allen einrichtet. Aber gut, wenn man nicht gerade 5 DCs hat, kann man damit wohl leben.
Mitglied: Dani
Dani 15.10.2016 um 16:14:37 Uhr
Goto Top
Moin,
Das Sperr-Event wird immer auf allen DCs geloggt, somit erhält man doppelte Mails, wenn man diesen Task auf allen einrichtet.
kann ich nicht bestätigen. Ich habe im Lab zwei DCs aufgsetzt, einen Client mit Windows 7 und getestet. Bisher scheint das Event immer auf dem Server, welcher die Rolle "PDC Emulator" besitzt.


Gruß,
Dani
Mitglied: DerWoWusste
DerWoWusste 15.10.2016 um 19:15:50 Uhr
Goto Top
Tja... Sind denn auch beide global catalogues server? Hier ja und die Nachricht kommt immer von beiden.
Mitglied: Dani
Dani 17.10.2016 um 20:25:31 Uhr
Goto Top
Moin,
eigentlich schon... muss ich mir genauer am Weekend anschauen.
Wir nutzen in der Produktiven Umgebung SCCM dafür. Evtl. ist dein Skript in unserer IT-Domäne eine sinnvolle Ergänzung...


Gruß,
Dani
Mitglied: pablovic
pablovic 20.10.2016 um 15:28:34 Uhr
Goto Top
Danke @DerWoWusste

Das Skript macht genau das was ich wollte.

Gruss P.