28 марта 2024, 16:23

Цитата дня:

Но самым опасным врагом, которого ты можешь встретить, будешь всегда ты сам. Фридрих Вильгельм Ницше


Залогиненные пользователи на ПК в консоли Active Directory онлайн

Автор STALKER_SLX, 14 сентября 2019, 13:38

« предыдущая тема - следующая тема »

0 Пользователей и 1 Гость просматривают эту тему.

Вниз

STALKER_SLX

Доброго времени суток, уважаемые форумчане!

«И так, встала задача - нужно каким-либо образом определять на каком компьютере залогинен пользователь AD либо наоборот - какой пользователь залогинен на ПК в текущий момент. На разных админских форумах эту задачу решают по-разному».

Я попытался сделать это следующим образом.
На просторах сети нашёл два VBS-скрипта: один отрабатывает при авторизации пользователя на компьютере домена (logon_sc.vbs), а второй - при завершении сеанса (выходе) пользователя (logoff_sc.vbs). Их содержимое привожу во вложении «Logon_Lofoff_AD.rar».


Далее я создал новую политику и в раздел «User configuration» -(Logon/Logoff) поместил эти самые скрипты. Далее привязал (применил) данную политику к нужному контейнеру (OU), который содержит всех пользователей офиса (а их больше 100). Но эта политика отработала (на сколько я понял) только на пользователях, которые входят в группу доменных администраторов! На других же пользователях, при «gpresult /r» показывает, что политика применилась, но соответствующие записи Logon/Logoff обычных пользователей домена в поле «Description» консоли «Active directory users and computers» так и не появились.

В сети пишут, чтобы решить эту задачу, нужно ВСЕМ пользователям дать право на запись в поле «Описание» учетных записей их компьютеров. В частности, вот тут https://sysrtfm.ru/windows-sever-2008/zaloginennye-polzovateli-na-pk-v-konsoli-active-directory-onlajn-vbs-skript/
Написано следующее:

«Для этого правой кнопкой мыши на OU где находятся все ПК, выбираем первый пункт «Делегирование управления», «Далее», «Добавить», выбираем группу пользователей «Domain Users» например, «Далее», Выбираем «Создать особую задачу для делегирования», «Далее», «только следующими объектами в этой папке», спускаемся в самый низ и отмечаем «Компьютер объектов», «Далее», Убираем галку «Общие» и отмечаем «Разрешения для свойств» - список увеличится, почти в самом низу отмечаем «Запись Описание», «Далее» и «Готово». После этого Все пользователи домена смогут записывать в поле «Описание» компьютеров.»

Но меня волнует, то на сколько такой подход будет правильный с точки зрения безопасности (пользователи могут изменять поле «Описание» / «Description»)?!

А как такую задачу решаете Вы?

ival

Вопрос за чем. Если просто чтобы знать, то сторонний софт это делает. Например сервер управления антивирусом ESET EMC отдаёт залогининых пользователей и на основе них применяет политики к антивирусу для конкретного пользователя. Подозреваю что любой сервер антивируса это может. Если нужно выгружать это куда-то, то я бы наверное все-таки powershell рассмотрел. К сожалению я с телефона и посмотреть сам скрипт не могу, но мое отношение к vbs весьма скептическое, большинство задач можно решить через ps. Писать в описание нет ничего критичного, поэтому можете смело делегировать права на запись.

Вверх