通过域策略登录脚本收集域用户的登录/注销信息
1.我们需要在域控制器上新建一个隐藏的共享文件夹 shoujifile$,专门用于存放收集到的资料,如下图所示:
登录和注销脚本代码如下:
'收集域用户注销计算机信息
On Error Resume Next
strComputer = "."
Set lianjieobj = GetObject("winmgmts:\\" & strComputer & "\root\cimv2")
Set colItems = lianjieobj.ExecQuery("Select * from Win32_ComputerSystem")
For Each objItem in colItemsgetcomputerstr = objItem.namegetcomputerdomainstr = objItem.Domaingetusernamestr = objItem.UserNamegetmodelstr = objItem.Model & "(" & objItem.Manufacturer & ")"
next
Set colItems = nothingSet ercolItems = lianjieobj.ExecQuery("Select * from Win32_OperatingSystem")
For Each erobjItem in ercolItemsgetosnamestr = erobjItem.Captiongetoslastbootuptimestr = erobjItem.LastBootUpTime
next
Set ercolItems = nothing
Set lianjieobj = nothingIf getusernamestr <> "" Then
ElseSet SetobjNet = CreateObject("WScript.Network")getusernamestr = SetobjNet.UserNameSet SetobjNet = nothing
End Iffilenamestr = split(getusernamestr,"\")(ubound(split(getusernamestr,"\")))
getdatetimestr = replace(date(),"/","-") & " " & time()'下面这一句是存放文件的路径,根据自已的情况大家可自行修改。
pathstr = "\\192.168.234.1\shoujifile$\" & filenamestr & ".csv"Set ofso = CreateObject("Scripting.FileSystemObject")
If ofso.fileExists(pathstr) ThenSet Output = ofso.OpenTextFile(pathstr,8,True)Output.WriteLine """"& getcomputerstr &""","""& getcomputerdomainstr &""","""& getusernamestr &""","""& getdatetimestr &""",""注销"","""& getmodelstr &""","""& getosnamestr &""","""& getoslastbootuptimestr &""""Output.close()Set Output = nothing
elseSet Output = ofso.CreateTextFile(pathstr, True)Output.WriteLine """计算机名称"",""登录域"",""登录名称"",""时间"",""类型"",""计算机型号"",""操作系统名称"",""最近一次开机时间"""Output.WriteLine """"& getcomputerstr &""","""& getcomputerdomainstr &""","""& getusernamestr &""","""& getdatetimestr &""",""登录"","""& getmodelstr &""","""& getosnamestr &""","""& getoslastbootuptimestr &""""Output.close()Set Output = nothing
end if
Set ofso = nothing
'收集域用户登录计算机信息
On Error Resume Next
strComputer = "."
Set lianjieobj= GetObject("winmgmts:\\" & strComputer & "\root\cimv2")
Set colItems= lianjieobj.ExecQuery("Select * from Win32_ComputerSystem")
For Each objItem in colItemsgetcomputerstr = objItem.namegetcomputerdomainstr = objItem.Domaingetusernamestr = objItem.UserNamegetmodelstr = objItem.Model & "(" & objItem.Manufacturer & ")"
next
Set colItems= nothingSet ercolItems= lianjieobj.ExecQuery("Select * from Win32_OperatingSystem")
For Each erobjItem in ercolItemsgetosnamestr = erobjItem.Captiongetoslastbootuptimestr = erobjItem.LastBootUpTime
next
Set ercolItems= nothing
Set lianjieobj= nothingIf getusernamestr <> "" Then
ElseSet SetobjNet= CreateObject("WScript.Network")getusernamestr = SetobjNet.UserNameSet SetobjNet= nothing
End Iffilenamestr = split(getusernamestr,"\")(ubound(split(getusernamestr,"\")))
getdatetimestr = replace(date(),"/","-") & " " & time()'下面这一句是存放文件的路径,根据自已的情况大家可自行修改。
pathstr = "\\192.168.234.1\shoujifile$\" & filenamestr & ".csv"Set ofso= CreateObject("Scripting.FileSystemObject")
If ofso.fileExists(pathstr) ThenSet Output= ofso.OpenTextFile(pathstr,8,True)Output.WriteLine """"& getcomputerstr &""","""& getcomputerdomainstr &""","""& getusernamestr &""","""& getdatetimestr &""",""登录"","""& getmodelstr &""","""& getosnamestr &""","""& getoslastbootuptimestr &""""Output.close()Set Output= nothing
elseSet Output= ofso.CreateTextFile(pathstr, True)Output.WriteLine """计算机名称"",""登录域"",""登录名称"",""时间"",""类型"",""计算机型号"",""操作系统名称"",""最近一次开机时间"""Output.WriteLine """"& getcomputerstr &""","""& getcomputerdomainstr &""","""& getusernamestr &""","""& getdatetimestr &""",""登录"","""& getmodelstr &""","""& getosnamestr &""","""& getoslastbootuptimestr &""""Output.close()Set Output= nothing
end if
Set ofso= nothing
2.复制保存上面脚本.vbs后缀,再分别把存放路径IP修改为你域服务器的IP。
3.在域控制器上打开组策略管理工具或运行gpmc.msc,我们这里直接修改 Default Domain Policy 策略对所有域用户进行收集,当然你也可以对指定组织单元设置专门的略策。分别设置用户的登录/注销脚本文件,如下图所示:
配置完之后,在域控制器上用 gpupdae /force 命令刷新以下组策略.
域用户只要一登录或注销我们就会自动收集到他们的信息,打开 shoujifile$ 共享文件夹,看到里面对应用户的 csv 文件了。
通过域策略登录脚本收集域用户的登录/注销信息相关推荐
- 如何恢复默认域策略和默认域控制器策略
如果需要将默认域策略和默认域控制器策略恢复为起始状态,可以使用Dcgpofix.exe.这是一个命令行程序,内置在2008 R2中.要恢复默认域策略,请运行以下命令:Dcgpofix /target: ...
- 域渗透基础_域渗透实战下gpo策略利用
计划任务 每次需要删除计划的配置文件 ,更改任务名 重新下发文件,计划任务的文件路径放在sysvol目录下,域渗透实战下gpo策略利用. startup 重启登录 文件必须放在 gpo配置的指定目录下 ...
- 要管理组策略 您必须以域用户账户登录此计算机,组策略设置:使普通用户登陆域控制器的电脑...
域控制器是什么?如何设置域控制器中的组策略,让一般域用户可以登陆作为域控制器的电脑?具体内容如下所示. 域控制器包含了由域的账户.密码.属于这个域的计算机等信息构成的数据库,负责对整个Windows域 ...
- server2012域控服务器添加远程用户、以及对域用户修改密码永不过期等策略
Server2012域控内的服务器添加远程用户以及修改密码永不过期.复杂度等策略 一.添加远程用户 系统属性--远程设置--远程--选择用户 1. 2. 3. 4.填写用户名. 5.填写密码.以及账户 ...
- 使用域策略禁止用户更改ip
公司新上一个系统,要求将普通域user账号添加到本地administrator组.如此一来,客户端用户权限将难以控制,比如擅自更改ip,安装软件,上QQ及使用P2P下载等问题.下面,就使用域策略禁止用 ...
- 内网渗透(十三)之内网信息收集-收集域环境中的基本信息
系列文章第一章节之基础知识篇 内网渗透(一)之基础知识-内网渗透介绍和概述 内网渗透(二)之基础知识-工作组介绍 内网渗透(三)之基础知识-域环境的介绍和优点 内网渗透(四)之基础知识-搭建域环境 内 ...
- 域用户桌面显示计算机名,用Bginfo设置域客户端桌面显示主机名和IP地址信息
老林同学那天给老师部署了个作业,说在维护工作中,经常要问用户他们的主机名或IP地址是多少,大多数用户难以找到这些信息,如果能将主机名显示在"我的电脑"下面就好了,结果,这个作业小徐 ...
- 信息收集--域内信息收集
域内信息收集 一.收集域内基础信息 1.查询域 2.查询此域内所有计算机 3.查询域内所有用户组列表 4.查询所有域成员计算机列表 5.获取域密码信息 6.获取域信任信息 二.查找域控制器 1.查看域 ...
- Chrome 83 发布,支持直接读写本地文件!新的跨域策略!
Chrome 稳定版本的更新直接跳过 v82 来到 Chrome 83,因此很多原本在 Chrome 82上就要正式发布的功能也悉数积攒到了本次更新的 Chrome 83 中. 速览 本地文件系统 新 ...
最新文章
- 如何在mac终端上使用python3.5
- python @property
- [Cinder] 存储 Qos
- MySQL数据库-笔记02【创建数据库与数据表、数据类型、约束概念与举例】
- 持续交付一:从开发到上线的环境
- 内存泄漏 和 内存溢出
- Flask自定义时间过滤器
- oracle自动创建分区存储过程,oracle 存储过程创建表分区
- GUI中axes使用subplot时的清空及axes大小的固定的解决方法
- git init、git status、git config user.name、git add、git commit、git remote、git push、git clone、git pull
- 3个月的产品实习生,还不会画原型和做UI设计
- 优盘安装红帽linux系统,RedHat Linux系统U盘安装图文教程
- html中图片为什么反了,HTML5 canvas如何实现图片反色
- 阿里巴巴最新区块链专利申请文件解读
- 数据安全--13--数据安全生命周期管理
- app store无法下载、安装软件,一直在转圈的一个解决方法
- 大脑构造图与功能解析_大脑的结构和功能?
- BootCamp Intel Mac上安装Windows全教程
- C++学习笔记(11)
- 我国构建物联网基础安全标准体系的时间表确定
热门文章
- Activiti 用户任务并行动态多实例(多用户执行流程)
- Could not find leader nimbus
- 第十五章,读取txt文件(C++)
- php的?php ?标签匹配
- python 练习 27
- 一分钟区分一流公司、二流公司、三流公司(转)
- 大数据_Flink_Java版_ProcessFunction(4)_应用案例_高低温分流---Flink工作笔记0069
- Docker应用容器引擎_简介---Docker工作笔记003
- 大数据_Hbase-API访问_Java操作Hbase_封装操作数据的工具类---Hbase工作笔记0015
- MyCat分布式数据库集群架构工作笔记0007---Mycat登录