W usłudze Active Directory, jeśli chcesz uniemożliwić użytkownikowi logowanie się, możesz wyłączyć jego konto lub po prostu zresetować hasło. Jeśli jednak użytkownik jest już zalogowany na stacji roboczej i musisz uniemożliwić mu jak najszybszy dostęp do jakichkolwiek zasobów - jak to zrobić? Mówię o sytuacji awaryjnej, w której pracownik zostaje zwolniony ze skutkiem natychmiastowym i istnieje ryzyko, że sieją spustoszenie, jeśli nie zostaną natychmiast odcięte od sieci.
Kilka dni temu miałem do czynienia z podobną sprawą. Na początku nie byłem pewien, jak się zachować. Zapobieganie dostępowi użytkowników do udziałów sieciowych jest łatwe, ale to nie wystarczy. W końcu wyłączyłem komputer docelowy za pomocą polecenia Stop-Computer -ComputerName <name> -Force
cmdlet programu PowerShell, co w moim przypadku rozwiązało problem. Jednak w niektórych przypadkach może to nie być najlepszy wybór, powiedzmy, jeśli użytkownik, którego chcesz odciąć, jest zalogowany na kilku stacjach roboczych lub na komputerze, który zapewnia ważną usługę i po prostu nie możesz jej wyłączyć.
Jakie jest najlepsze możliwe rozwiązanie do zdalnego wymuszenia natychmiastowego wylogowania użytkownika ze wszystkich stacji roboczych? Czy jest to w ogóle możliwe w Active Directory?
Odpowiedzi:
Najlepsze rozwiązanie: pracownik ochrony eskortuje osobę ...
Drugie najlepsze rozwiązanie:
Napisałem do tego podstawowy skrypt wsadowy. Potrzebuję też trochę
unixtools
na ścieżcepsexec
.źródło
Nie do końca oparty na AD, ale powinien robić, co chcesz.
Wyłącz lub wygaśnij konto
lub
Następnie wyloguj użytkownika ze swojego komputera
Innym sposobem wylogowania użytkownika jest użycie wbudowanego narzędzia systemu Windows z administracyjnego wiersza polecenia
Wylogowuje identyfikator sesji 1 z komputera zdalnego. Jeśli nie znasz identyfikatora sesji (domyślnie 1), możesz użyć kwerendy na zdalnym komputerze, aby go znaleźć.
źródło
shutdown
Poleceń domyślnie nie faktycznie zamknięty, ale wylogowuje użytkownika .Możesz zablokować sesję użytkownika zdalnie za pomocą wmic:
1 - Najpierw zmień hasło użytkownika:
2 - Następnie wyłącz konto:
3 - Następnie odłącz sesję użytkownika:
Ma to wartość dodaną, ponieważ nie stracisz bieżącej sesji użytkownika, a zatem po odblokowaniu stacji roboczych będziesz mógł zobaczyć, czy próbował zrobić coś paskudnego przed eskortą do drzwi.
Wszystkie kredyty na blogu Kung Fu z wiersza poleceń . Jest tam mnóstwo szalonych rzeczy związanych z bezpieczeństwem / kryminalistyką!
AKTUALIZACJA: Pierwsze dwa kroki są przeznaczone dla użytkowników lokalnych, w środowisku Active Directory jest faktycznie łatwiejsze, wyłącz konto i zmień hasło w AD, a następnie uruchom trzecie polecenie przeciwko adresowi IP złośliwego użytkownika.
źródło
wmic..."tsdiscon"
działa tylko na XP . W systemie Vista + to polecenie nie może rozłączyć sesji konsoli.Po prostu zmień godziny logowania na odmowy logowania we wszystkich godzinach we właściwościach użytkownika. To natychmiast wyloguje ich z miejsca, w którym są zalogowani.
źródło