通过域策略登录脚本收集域用户的登录/注销信息

1.我们需要在域控制器上新建一个隐藏的共享文件夹 shoujifile$，专门用于存放收集到的资料，如下图所示：

登录和注销脚本代码如下：


'收集域用户注销计算机信息
On Error Resume Next
strComputer = "."
Set lianjieobj = GetObject("winmgmts:\\" & strComputer & "\root\cimv2")
Set colItems = lianjieobj.ExecQuery("Select * from Win32_ComputerSystem")
For Each objItem in colItemsgetcomputerstr = objItem.namegetcomputerdomainstr = objItem.Domaingetusernamestr = objItem.UserNamegetmodelstr = objItem.Model & "(" & objItem.Manufacturer & ")"
next
Set colItems = nothingSet ercolItems = lianjieobj.ExecQuery("Select * from Win32_OperatingSystem")
For Each erobjItem in ercolItemsgetosnamestr = erobjItem.Captiongetoslastbootuptimestr = erobjItem.LastBootUpTime
next
Set ercolItems = nothing
Set lianjieobj = nothingIf getusernamestr <> "" Then
ElseSet SetobjNet = CreateObject("WScript.Network")getusernamestr = SetobjNet.UserNameSet SetobjNet = nothing
End Iffilenamestr = split(getusernamestr,"\")(ubound(split(getusernamestr,"\")))
getdatetimestr = replace(date(),"/","-") & " " & time()'下面这一句是存放文件的路径，根据自已的情况大家可自行修改。
pathstr = "\\192.168.234.1\shoujifile$\" & filenamestr & ".csv"Set ofso = CreateObject("Scripting.FileSystemObject")
If ofso.fileExists(pathstr) ThenSet Output = ofso.OpenTextFile(pathstr,8,True)Output.WriteLine """"& getcomputerstr &""","""& getcomputerdomainstr &""","""& getusernamestr &""","""& getdatetimestr &""",""注销"","""& getmodelstr &""","""& getosnamestr &""","""& getoslastbootuptimestr &""""Output.close()Set Output = nothing
elseSet Output = ofso.CreateTextFile(pathstr, True)Output.WriteLine """计算机名称"",""登录域"",""登录名称"",""时间"",""类型"",""计算机型号"",""操作系统名称"",""最近一次开机时间"""Output.WriteLine """"& getcomputerstr &""","""& getcomputerdomainstr &""","""& getusernamestr &""","""& getdatetimestr &""",""登录"","""& getmodelstr &""","""& getosnamestr &""","""& getoslastbootuptimestr &""""Output.close()Set Output = nothing
end if
Set ofso = nothing

'收集域用户登录计算机信息
On Error Resume Next
strComputer = "."
Set lianjieobj= GetObject("winmgmts:\\" & strComputer & "\root\cimv2")
Set colItems= lianjieobj.ExecQuery("Select * from Win32_ComputerSystem")
For Each objItem in colItemsgetcomputerstr = objItem.namegetcomputerdomainstr = objItem.Domaingetusernamestr = objItem.UserNamegetmodelstr = objItem.Model & "(" & objItem.Manufacturer & ")"
next
Set colItems= nothingSet ercolItems= lianjieobj.ExecQuery("Select * from Win32_OperatingSystem")
For Each erobjItem in ercolItemsgetosnamestr = erobjItem.Captiongetoslastbootuptimestr = erobjItem.LastBootUpTime
next
Set ercolItems= nothing
Set lianjieobj= nothingIf getusernamestr <> "" Then
ElseSet SetobjNet= CreateObject("WScript.Network")getusernamestr = SetobjNet.UserNameSet SetobjNet= nothing
End Iffilenamestr = split(getusernamestr,"\")(ubound(split(getusernamestr,"\")))
getdatetimestr = replace(date(),"/","-") & " " & time()'下面这一句是存放文件的路径，根据自已的情况大家可自行修改。
pathstr = "\\192.168.234.1\shoujifile$\" & filenamestr & ".csv"Set ofso= CreateObject("Scripting.FileSystemObject")
If ofso.fileExists(pathstr) ThenSet Output= ofso.OpenTextFile(pathstr,8,True)Output.WriteLine """"& getcomputerstr &""","""& getcomputerdomainstr &""","""& getusernamestr &""","""& getdatetimestr &""",""登录"","""& getmodelstr &""","""& getosnamestr &""","""& getoslastbootuptimestr &""""Output.close()Set Output= nothing
elseSet Output= ofso.CreateTextFile(pathstr, True)Output.WriteLine """计算机名称"",""登录域"",""登录名称"",""时间"",""类型"",""计算机型号"",""操作系统名称"",""最近一次开机时间"""Output.WriteLine """"& getcomputerstr &""","""& getcomputerdomainstr &""","""& getusernamestr &""","""& getdatetimestr &""",""登录"","""& getmodelstr &""","""& getosnamestr &""","""& getoslastbootuptimestr &""""Output.close()Set Output= nothing
end if
Set ofso= nothing

2.复制保存上面脚本.vbs后缀,再分别把存放路径IP修改为你域服务器的IP。

3.在域控制器上打开组策略管理工具或运行gpmc.msc，我们这里直接修改 Default Domain Policy 策略对所有域用户进行收集，当然你也可以对指定组织单元设置专门的略策。分别设置用户的登录/注销脚本文件，如下图所示：

配置完之后，在域控制器上用 gpupdae /force 命令刷新以下组策略.

域用户只要一登录或注销我们就会自动收集到他们的信息，打开 shoujifile$ 共享文件夹，看到里面对应用户的 csv 文件了。

通过域策略登录脚本收集域用户的登录/注销信息相关推荐

如何恢复默认域策略和默认域控制器策略
如果需要将默认域策略和默认域控制器策略恢复为起始状态,可以使用Dcgpofix.exe.这是一个命令行程序,内置在2008 R2中.要恢复默认域策略,请运行以下命令:Dcgpofix /target: ...
域渗透基础_域渗透实战下gpo策略利用
计划任务每次需要删除计划的配置文件 ,更改任务名重新下发文件,计划任务的文件路径放在sysvol目录下,域渗透实战下gpo策略利用. startup 重启登录文件必须放在 gpo配置的指定目录下 ...
要管理组策略您必须以域用户账户登录此计算机,组策略设置：使普通用户登陆域控制器的电脑...
域控制器是什么?如何设置域控制器中的组策略,让一般域用户可以登陆作为域控制器的电脑?具体内容如下所示. 域控制器包含了由域的账户.密码.属于这个域的计算机等信息构成的数据库,负责对整个Windows域 ...
server2012域控服务器添加远程用户、以及对域用户修改密码永不过期等策略
Server2012域控内的服务器添加远程用户以及修改密码永不过期.复杂度等策略一.添加远程用户系统属性--远程设置--远程--选择用户 1. 2. 3. 4.填写用户名. 5.填写密码.以及账户 ...
使用域策略禁止用户更改ip
公司新上一个系统,要求将普通域user账号添加到本地administrator组.如此一来,客户端用户权限将难以控制,比如擅自更改ip,安装软件,上QQ及使用P2P下载等问题.下面,就使用域策略禁止用 ...
内网渗透(十三)之内网信息收集-收集域环境中的基本信息
系列文章第一章节之基础知识篇内网渗透(一)之基础知识-内网渗透介绍和概述内网渗透(二)之基础知识-工作组介绍内网渗透(三)之基础知识-域环境的介绍和优点内网渗透(四)之基础知识-搭建域环境内 ...
域用户桌面显示计算机名,用Bginfo设置域客户端桌面显示主机名和IP地址信息
老林同学那天给老师部署了个作业,说在维护工作中,经常要问用户他们的主机名或IP地址是多少,大多数用户难以找到这些信息,如果能将主机名显示在"我的电脑"下面就好了,结果,这个作业小徐 ...
信息收集--域内信息收集
域内信息收集一.收集域内基础信息 1．查询域 2．查询此域内所有计算机 3.查询域内所有用户组列表 4．查询所有域成员计算机列表 5．获取域密码信息 6．获取域信任信息二.查找域控制器 1．查看域 ...
Chrome 83 发布，支持直接读写本地文件！新的跨域策略!
Chrome 稳定版本的更新直接跳过 v82 来到 Chrome 83,因此很多原本在 Chrome 82上就要正式发布的功能也悉数积攒到了本次更新的 Chrome 83 中. 速览本地文件系统新 ...

通过域策略登录脚本收集域用户的登录/注销信息

通过域策略登录脚本收集域用户的登录/注销信息相关推荐

最新文章

热门文章