Comment obtenir l'historique des connexions des utilisateurs dans Active Directory ?

L'affichage et l'analyse de l'historique des connexions des utilisateurs sont essentiels car ils permettent de prédire les modèles de connexion et d'établir des pistes d'audit. Vous pouvez obtenir l'historique des connexions des utilisateurs en utilisant Windows PowerShell. Vous pouvez également utiliser une solution d'audit AD complète comme ADAudit Plus pour vous simplifier la tâche.

Cet article compare la méthode permettant d'obtenir des informations sur l'historique des connexions des utilisateurs à l'aide de Windows PowerShell et d'ADAudit Plus.

PowerShell

Étapes pour obtenir l'historique des connexions des utilisateurs :

Identifiez le domaine à partir duquel vous voulez récupérer le rapport.
Identifiez le DC primaire pour récupérer le rapport.
Compilez le script.
Exécutez-le dans Windows PowerShell
Si vous souhaitez exporter le rapport dans un format de fichier particulier, vous devrez personnaliser la cmdlet en conséquence.

Exemple de script Windows PowerShell

# Find DC list from Active Directory
$DCs = Get-ADDomainController -Filter *
 
# Define time for report (default is 1 day)
$startDate = (get-date).AddDays(-1)
 
# Store successful logon events from security logs with the specified dates and workstation/IP in an array
foreach ($DC in $DCs){
$slogonevents = Get-Eventlog -LogName Security -ComputerName $DC.Hostname -after $startDate | where {$_.eventID -eq 4624 }}
 
# Crawl through events; print all logon history with type, date/time, status, account name, computer and IP address if user logged on remotely
 
 foreach ($e in $slogonevents){
 # Logon Successful Events
 # Local (Logon Type 2)
 if (($e.EventID -eq 4624 ) -and ($e.ReplacementStrings[8] -eq 2)){
 write-host "Type: Local Logon`tDate: "$e.TimeGenerated "`tStatus: Success`tUser: "$e.ReplacementStrings[5] "`tWorkstation: "$e.ReplacementStrings[11]
 }
 # Remote (Logon Type 10)
 if (($e.EventID -eq 4624 ) -and ($e.ReplacementStrings[8] -eq 10)){
 write-host "Type: Remote Logon`tDate: "$e.TimeGenerated "`tStatus: Success`tUser: "$e.ReplacementStrings[5] "`tWorkstation: "$e.ReplacementStrings[11] "`tIP Address: "$e.ReplacementStrings[18]
 }}

Copied

Cliquez pour copier tout le script

ADAudit Plus

Pour obtenir le rapport,

Connectez-vous à la console web ADAudit Plus.
Naviguez vers l'onglet Rapports -> section Connexion/déconnexion locale -> rapport Activité de connexion.
Dans le champ « Domaine » en haut à droite, sélectionnez le domaine souhaité ou « Tous les domaines ».
Utilisez l'option « Recherche » pour filtrer les noms d'utilisateurs spécifiques, ou le contrôleur de domaine, si nécessaire.
Obtenez l'historique complet des connexions des utilisateurs pour une période de votre choix.
Exportez le rapport dans le format de votre choix : CSV, PDF, XLS ou HTML.

Voici les limites de l'utilisation de PowerShell pour obtenir l'historique des connexions des utilisateurs :

Nous ne pouvons exécuter le script ci-dessus qu'à partir des ordinateurs qui ont le rôle de services de domaine Active Directory.
Pour changer les formats de date et appliquer différents fuseaux horaires aux résultats de la date, le script doit être modifié ou créé à chaque fois.
Il est difficile d'exporter le rapport dans d'autres formats.
L'application de filtres supplémentaires, tels que « Pendant les heures de bureau », « Période » et « Exporter en tant que » augmente la complexité de la requête LDAP.