[AD] User status

Goede vraag, maar die komt vaker voor. Zie http://www.google.nl/sear...=Google+zoeken&meta=lr%3D

Ik denk dat je daar een heel eind mee komt.

zie ook:

http://www.codeproject.co...ogonAcrossAllWindows.aspx

Is True Last Logon 2.8 van Dovestones Software misschien geen oplossing? (http://www.dovestones.com/products/True_Last_Logon.asp)
True Last Logon displays the following Active Directory information:

* Users real name and logon name
* Last Logon Date & Time
* Last Logon Timestamp (Replicated value)
* Account Expiry Date & Time
* Enabled or Disabled Account
* Locked Accounts
* Password Expires
* Password Last Set Date & Time
* Logon Count
* Bad Password Count
* Expiry Date
* You can also query for any other attribute (Example: Description or Telephone Number).

Ik maak gebruik van de gratis versie, werkt naar behoren en kan op deze manier inactieve users/computers opschonen.

[ Voor 8% gewijzigd door Hari-Bo op 05-03-2009 08:28 ]

Je kan nooit zien of iemand aangemeld is en er ook nog gebruik van maakt. Dus het enige wat me echt met zekerheid te zeggen valt is de last logon time. Ik denk niet dat het mogelijk is om te zien wie er aangemeld is en dat in een lijst weer te geven.

Als voorbeeld: ik log met mijn laptop op maandag morgen in maar laat hem dan op standby staan en unlock hem dus enkel steeds de rest van de week. Ik weet dan niet of mijn logon time veranderd de volgende dag maar ik kan me voorstellen dat AD niet weet om hoe laat ik mijn laptop heb dichtgeklapt op maandag en niet meer aanwezig ben. Zo weet hij enkel dat ik op dinsdag morgen wel of niet opnieuw aanlog.

eRRoR.InSiDe schreef op donderdag 05 maart 2009 @ 08:32:
Je kan nooit zien of iemand aangemeld is en er ook nog gebruik van maakt. Dus het enige wat me echt met zekerheid te zeggen valt is de last logon time. Ik denk niet dat het mogelijk is om te zien wie er aangemeld is en dat in een lijst weer te geven.

Als voorbeeld: ik log met mijn laptop op maandag morgen in maar laat hem dan op standby staan en unlock hem dus enkel steeds de rest van de week. Ik weet dan niet of mijn logon time veranderd de volgende dag maar ik kan me voorstellen dat AD niet weet om hoe laat ik mijn laptop heb dichtgeklapt op maandag en niet meer aanwezig ben. Zo weet hij enkel dat ik op dinsdag morgen wel of niet opnieuw aanlog.

Precies, vandaar dat ik de link plakte om de last logon time te checken.. Wil je echt weten wanneer een user actief is, zul je denk ik tooling op de clients moeten installeren.

maniak schreef op donderdag 05 maart 2009 @ 09:05:
[...]


Daar was ik al bang voor. Er zit nog iets vervelends aan, om de last login te krijgen zal je alle DC's langs moeten.

Het tooltje wat ik net aangaf kan op alle DC's tegelijk de last logon opvragen je moet 'query on al DCs' aanvinken.

[ Voor 5% gewijzigd door Hari-Bo op 05-03-2009 09:17 ]

maniak schreef op donderdag 05 maart 2009 @ 09:18:
Ok.. ik gooi het over een andere boeg. Wordt het IP nummer opgeslagen in AD van de machine waar de gebruiker zich de laatste keer aangemeld heeft?

Opslaan van IP + DNS naam lijkt me meer een rol van DNS?
Maar wat wil je met het specifieke IP adres dan gaan doen?

[ Voor 3% gewijzigd door Hari-Bo op 05-03-2009 09:26 ]

Wat je ook kan gebruiker is lansweeper pro. Deze tool gebruikt een agent in het login script om te registreren wie er op welke pc is ingelogd.

Wij gebruiken het om snel te kunnen zien op welke pc een user het laatst is ingelogd (werkt dus alleen waneer een user op enkel 1 pc is ingelogd en niet op 2 tegelijk). en daarna via een link makkelijk remote support te leveren.

http://www.lansweeper.com/

Ja maar...... stel nu dat die mensen wel in het pand zijn maar niet aangemeld?

maniak schreef op dinsdag 10 maart 2009 @ 08:07:

De reden waarom ik moet weten welke gebruikers aangemeld zijn is dat het bedrijf moet weten welke mensen met een EHBO cursus in het pand zijn. Nu bestaat er een tool die E-Directory uitleest welke omgezet moet worden om gebruikt te worden met AD (bedrijf gaat van E-Dir naar AD).

Laat die mensen zich bij binnenkomst melden bij de receptie?

Niet echt een bijdragen aan de OP vraag, maar wel relevant;

Is iemand bekend met easy to use software voor het op voeren en beheren van users in de Active Directory.
Ik zal even toelichten wat de insteek is;

"Bedrijf X" ik wil een so called "Smart Service Desk" opzetten
Dit is nu nog een eerstelijns tak die nu nog alleen incidenten aanneemt en doorzet, maar in de toekomst users moet opvoeren, afmelden aan de hand van functie profielen, maar ook moet kunnen de-blokkeren en wachtwoord wijzigingen moet kunnen door voeren.
Daarom "easy to use"
Deze mensen hebben in feite zero kennis van windows servers en active directory's
of dit nou web interface of client software based is maakt niet veel uit.
Ik heb het e.e.a gezocht maar kan niet duidelijk ervaringen op snorren.
Dat "true last logon" geeft al enkele van deze mogelijkheden maar volgens mij heeft deze niet als optie user te kunnen toevoegen en verwijderen uit de AD.

Anyone tips en / of ervaringen?

Wat je kan doen is een webpagina bouwen die ingelogde gebruiker weergeeft.
Stap 1. bouw een formulier waarin de computer op het moment van aanmelden een post doet naar een database. Hoeft niet secure te zijn als je het enkel intern gebruikt.
Stap 2. lepel deze db uit in php, asp, whatever.
Stap 3. doe een zelfde post met logged of op het moment dat de user uitlogt.


gebruik logon en logoff scripts in een policy en forceer dat alle computer zich afmelden op een bepaald tijdstip om te voorkomen dat user ingelogd blijven staan.

VBscript kan wmi uitlezen en daarna al je data dumpen in een database.
Hoef je niet eens formulier te bouwen. Bij het uitloggen query je wmi en delete je de regel in de db met de debetreffende user en computernaam.

Een stagiaire bij ons heeft op een zelfde manier een inventarisatie pakket geschreven in php.

[ Voor 14% gewijzigd door Acmosa op 10-03-2009 12:15 ]

AD biedt de mogelijkheid om met policies te werken. Zet alle alle EHBO-medewerkers in een groep en geef die groep rechten om 2 policies uit te voeren.
1 policy bij het aanloggen.
1 policy bij het uitloggen.
Via die policies kan je dan regelen dat er een bestandje wordt aangemaakt/verwijderd met daarin de gebruikersnaam.

Ik blijf het raar vinden om voor een dergelijk organisatorisch vraagstuk een oplossing te gaan gebruiken die leuk, maar weinig toepasbaar is.

Wat als de betreffende EHBO'er wel aanwezig is maar niet ingelogd wegens cursus of andere zaken?

anywaus: LimitLogon is wellicht iets wat je daarvoor zou kunnen misbruiken

[ Voor 14% gewijzigd door alt-92 op 10-03-2009 14:42 ]

alt-92 schreef op dinsdag 10 maart 2009 @ 14:40:
anywaus: LimitLogon is wellicht iets wat je daarvoor zou kunnen misbruiken

Ik meende dat die niet meer supported was oid..?

maniak schreef op dinsdag 10 maart 2009 @ 14:46:
Ik heb inderdaad al gedacht aan logon en logoff scripts. Maar ik probeer een oplossing te vinden waarbij er geen extra werk bij de ICT mensen legt.

No offense, maar dat doe je evengoed wel op deze manier
Iemand (dus ITC) zal hiervoor iets moeten regelen/doen/instellen/behulpzaam zijn.

misschien dat SCCM iets kan betekenen; een event bij het inloggen en een event bij het uitloggen..

Logon/Logoff entries zijn er wel voor user sessies in je security eventlogs, maar dat geldt ook voor benadering van een fileserver.
Ook dat is namelijk een logon sessie.

Question Mark schreef op dinsdag 10 maart 2009 @ 18:42:
[...]
Ik meende dat die niet meer supported was oid..?

Zou kunnen, maar als TS daarmee toch wat kan - al was het maar een idee opdoen...