Extraer logon de usuarios por Powershell
Hoy os voy a enseñar un script que nos facilita sobre manera el extraer el logon de usuarios, por ejemplo en un dominio, por comandos de powershell.
La autoría del script la podéis encontrar en la siguiente ruta:
https://gallery.technet.microsoft.com/scriptcenter/Get-LoggedOnUser-Gathers-7cbe93ea
Módulo:
Podemos usar el comando con el script del primer enlace, que tendremos que bajar y ejecutar para extraer los datos:
O por otra parte, cargar la función en forma de módulo de powershell que nos facilitará más la vida. Y lo cargamos en la siguiente ruta. Hay que generar la carpeta y generar un fichero psm1:
C:\Program Files\WindowsPowerShell\Modules\Get-UserLogon
Realizamos una importación y verificamos:
Y empezamos con los comandos…
Powershell: LOGONS EN TODO EL DOMINIO
Get-UserLogon -All
Powershell: LOGONS EN UNA OU
Get-UserLogon -OU 'ou=Computers,dc=negu,dc=local'
Powershell: LOGONS USUARIOS EN COMPUTER
Get-UserLogon -Computer NEGUAD01
¿Te ha gustado la entrada SÍGUENOS EN TWITTER?
Te ha gustado la entrada SGUENOS EN TWITTER O INVITANOS A UN CAFE?
Buen dia:
He estado estudiando algo de Power Shell, pero no doy con los resultados esperados. Necesito crear un script en Power Shell que me envíe un correo cuando el usuario administrador (de una pc local) inicia sesión extrayendo los datos del Registro de Eventos, pero no doy con el adecuado He mirado cientos de ejemplos pero nada. Me pueden ayudar??
Hola Jorge,
Habría que saber qué tipo de comportamiento buscas. Sería algo así programar una tarea periódica que se lance si el usuario logado es el administrador. Aunque siempre podría lanzarlos en remoto desde otra estación o servidor con MMC. Si es que extrae un XML en local, igual existe algún evento en el sistema que lo identifique con un ID, y puedes mirar eso. Un saludo
Buenas antes que nada muchas gracias por los aportes
es interesante lo planteado por jorge felix.
yo busco poder extraer lo eventos de un ide desde el dc para poder analizar bloqueos repetitivos de usuario y no saber desde donde se originan si bien es cierto que puedes buscarlos desde el dc pero si puedo exportarlo seria mucho mejor saludos.
Hola! El ID creo que es el 4740, para usuario bloqueado. Lo miro…salu2
Hola, quisiera saber como puedo obtener el primer inicio de sesión de una determinada fecha de un usuario.