[Win2k8] Gebruikersnaam vinden achter een computernaam - Serversoftware en clouddiensten

donderdag 10 mei 2012 12:21

Acties:

Verwijderd

Topicstarter

Beste Tweakers.net,

Ik zit met een probleem. Sinds kort is een netwerk traag van één van mijn klanten. Enfin, ik heb de misdadiger gevonden met de computernaam "WS-990". Het probleem is echter, dat bijna niets door mijn vorige werknemer gedocumenteerd is op deze locatie.

Setup:
Dit gebouw maakt gebruik van ongv. 120 computers, allemaal met een gebruikersnaam WS-'variabel".

En mijn vraag is aan jullie: hoe kom ik er achter waar computer WS-990 staat en welke gebruiker hierachter zit? Het enige wat ik kan vinden is de computernaam/MAC-adres en IP Nummer. Maargoed, ik wil dus weten waar de computer staat want ik denk dat er een flinke hoop malware op staat.

~
Unflux

donderdag 10 mei 2012 12:23

Acties:

Four

I void warranty

managed switches?

Kijk naar je mac table en vind welke poort dat mac op zit. Dan kun je hem al snel herleiden naar een wall-outlet.

[ Voor 4% gewijzigd door Four op 10-05-2012 12:24 ]

dwyslexy != luiheid !! Taalpuristen sla uw slag

donderdag 10 mei 2012 12:23

Acties:

heuveltje

KoelkastFilosoof

als de switches manageble zijn, zou je het poortje kunnen uitlezen.

Zoniet, blokkeer het ip/mac in de dhcp/firewall. en wacht tot de eerste persoon die klaagt dat ie niet meer kan inetten

[ Voor 48% gewijzigd door heuveltje op 10-05-2012 12:24 ]

Heuveltjes CPU geschiedenis door de jaren heen : AMD 486dx4 100, Cyrix PR166+, Intel P233MMX, Intel Celeron 366Mhz, AMD K6-450, AMD duron 600, AMD Thunderbird 1200mhz, AMD Athlon 64 x2 5600, AMD Phenom X3 720, Intel i5 4460, AMD Ryzen 5 3600 5800x3d

donderdag 10 mei 2012 12:24

Acties:

The Executer

Lekker belangrijk!

Verwijderd schreef op donderdag 10 mei 2012 @ 12:21:
Beste Tweakers.net,

Ik zit met een probleem. Sinds kort is een netwerk traag van één van mijn klanten. Enfin, ik heb de misdadiger gevonden met de computernaam "WS-990". Het probleem is echter, dat bijna niets door mijn vorige werknemer gedocumenteerd is op deze locatie.

Setup:
Dit gebouw maakt gebruik van ongv. 120 computers, allemaal met een gebruikersnaam WS-'variabel".

En mijn vraag is aan jullie: hoe kom ik er achter waar computer WS-990 staat en welke gebruiker hierachter zit? Het enige wat ik kan vinden is de computernaam/MAC-adres en IP Nummer. Maargoed, ik wil dus weten waar de computer staat want ik denk dat er een flinke hoop malware op staat.

~
Unflux

In het register van Windows wordt weggeschreven welke gebruiker als laatste ingelogd is (geweest). Op deze manier kun je zien wie het betreft.

Overigens mis ik wat je verder zelf al hebt geprobeerd. Zoeken op Google naar "Windows logged on user" levert genoeg zoekresultaten op waar je verder mee kan.

"We don't make mistakes; we just have happy accidents" - Bob Ross

donderdag 10 mei 2012 12:27

Acties:

Wimbo

-

[ Voor 116% gewijzigd door Wimbo op 20-11-2012 15:32 ]

donderdag 10 mei 2012 12:30

Acties:

PL3X4N

Add me on XBL: PL3X4N

PSEXEC / PSLoggedon? uitvoeren naar die pc, zie je zo wie er is ingelogt. Of UNC pad naar die PC C schijf en kijkt de lokale profielen na?

donderdag 10 mei 2012 12:31

Acties:

Verwijderd

Topicstarter

De Switches zijn niet manageble helaas, wel cisco maar kan er niet in

bedankt heren, ik dacht inderdaad al aan een scriptje.. anders moet ik denk een .bat scriptje maken die de IP-adres + de AD gebruikersnaam naar de server weg schrijft.. maja dat gebeurt dan pas zodra de computers rebooten.. en malware wil je natuurlijk het liefst z.s.m. verwijderen

@heuveltje, dat was mijn laatste optie inderdaad..

[ Voor 73% gewijzigd door Verwijderd op 10-05-2012 12:34 ]

donderdag 10 mei 2012 12:34

Acties:

GH45T

In dit soort gevallen kijk ik altijd naar de geopende shares op een server. Staat netjes computer naam en dan username bij elkaar.

donderdag 10 mei 2012 12:34

Acties:

Brilsmurfffje

Parttime Prutser

Heb je remote acces?

Dan kan je de computer ook gewoon piepjes laten maken en dan hoef je alleen maar af te gaan op het geluid.

donderdag 10 mei 2012 12:47

Acties:

Verwijderd

Topicstarter

Wimbo je script werkt denk ik niet naar behoren.

Want de computer staat aan, maar de vbs geeft alsnog een error dat de computer niet aan staat.

donderdag 10 mei 2012 12:50

Acties:

ksmedts

Heb het scriptje hier ook even getest... windows 7 computers geven de juiste inlog naam terug, windows xp computers geven niks terug.

donderdag 10 mei 2012 13:01

Acties:

Wimbo

Hmm, vreemd, hier werkt het wel perfect met 7 en XP pc's.
Je moet natuurlijk wel admin rechten op de betreffende pc hebben.

[ Voor 6% gewijzigd door Wimbo op 10-05-2012 13:02 ]

donderdag 10 mei 2012 13:04

Acties:

ThomVis

Detected rambling:

XP/W2k3:

code:

1	dir "\[computernaam]\c$\documents and settings" /od

W7/W2k8:

code:

1	dir "\[computernaam]\c$\users" /od

[ Voor 10% gewijzigd door ThomVis op 10-05-2012 13:05 ]

You don't have to know how the computer works, just how to work the computer.

donderdag 10 mei 2012 13:04

Acties:

Verwijderd

Topicstarter

Hmm ik denk dat dat het probleem dus is, die admin rechten.. want sommige clients heb ik dichtgetimmerd en andere hebben weer wat meer rechten.

tevens allemaal win7 clients, ik heb de gebruiker nu in de firewall gepropt

hij/zij komt vanzelf wel klagen.

Bedankt heren, en wimbo bedankt voor je script ! zeer nuttig

donderdag 10 mei 2012 13:17

Acties:

mace

Sapere Aude

psexec tasklist /v en dan kijken wie processen heeft draaien?

edit: vergeten te refreshen na de pauze.

[ Voor 27% gewijzigd door mace op 10-05-2012 13:19 ]

donderdag 10 mei 2012 13:21

Acties:

Verwijderd

Topicstarter

Moet je kijken wat een data die client verstookt...

Afbeeldingslocatie: http://i47.tinypic.com/119w6j6.jpg

donderdag 10 mei 2012 13:25

Acties:

Wimbo

-

[ Voor 100% gewijzigd door Wimbo op 20-11-2012 15:32 ]

donderdag 10 mei 2012 13:27

Acties:

Verwijderd

Topicstarter

Hmm de DrayTek modem wilt niet echt meewerken.. de data blijft gewoon doorstromen van de client al block ik de client zijn IP 10.0.0.33 -> Block All -> All Protocols etc.

Sjonge jonge ik wil gewoon simpelweg een client blocken, hoeveel stress kan dit opleveren pfft.. Binnenkort maar even pfSense voorstellen

[ Voor 30% gewijzigd door Verwijderd op 10-05-2012 13:30 ]

donderdag 10 mei 2012 13:29

Acties:

Raven

Marion Raven fan

Misschien is net send een idee om aandacht te trekken? Of is dat tegenwoordig standaard geblokkeerd

[ Voor 12% gewijzigd door Raven op 10-05-2012 13:30 ]

After the first glass you see things as you wish they were. After the second you see things as they are not. Finally you see things as they really are, and that is the most horrible thing in the world...

Oscar Wilde

donderdag 10 mei 2012 13:30

Acties:

Verwijderd

Topicstarter

Raven schreef op donderdag 10 mei 2012 @ 13:29:
Misschien is net send een idee om aandacht te trekken? Of is dat tegenwoordig standaard geblokkeerd

Dat is standaard geblokkeerd, ik kan het wel leuk via het registry activeren ( en de net send service ) maja dan hebben alle pc's een reboot nodig..

donderdag 10 mei 2012 13:30

Acties:

E-Vix

Nu met sneeuw!

Hier op kantoor gebruiken wij lansweeper (www.lansweeper.com) om precies te zien wie achter welke pc zit etc. Wellicht een idee om dat te proberen? Kan alleen heel even duren voordat je de gegevens over die pc hebt.

Welk tootlje gebruik je trouwens om je traffic mee te monitoren?

[ Voor 82% gewijzigd door E-Vix op 10-05-2012 13:34 ]

Failed opening '/home/users/7942/signature.inc' for inclusion (include_path='.:') in /home/www/got/userstats.php on line 25

donderdag 10 mei 2012 13:31

Acties:

Wimbo

-

[ Voor 123% gewijzigd door Wimbo op 20-11-2012 15:32 . Reden: typo ]

donderdag 10 mei 2012 13:32

Acties:

Verwijderd

Topicstarter

Thnx E-Vix, die is mij bekend.

Even proberen, ik gebruik overigens Colasoft Capsa Networkanalyser WAT EEN PRACTIGE TOOL is dat hé

sinds gister gebruik ik hem, tevens op alle netwerken geinstalleerd héhé.. je ziet direct wat het probleem is binnen het netwerk ( wat de bottleneck is )

@Wimbo nee geen ISA, gewoon een analyser tool

[ Voor 7% gewijzigd door Verwijderd op 10-05-2012 13:32 ]

donderdag 10 mei 2012 13:32

Acties:

Jay-v

Uhhhh......

Register remote openen en de last logged on user zoeken?

Scriptje wat de last logged on user weg schrijft in de AD? Instellen als startup script en de PC een remote shutdown geven?

donderdag 10 mei 2012 13:34

Acties:

E-Vix

Nu met sneeuw!

Verwijderd schreef op donderdag 10 mei 2012 @ 13:30:
Dat is standaard geblokkeerd, ik kan het wel leuk via het registry activeren ( en de net send service ) maja dan hebben alle pc's een reboot nodig..

Vanaf je AD server: mmc services.msc /computer:[COMPUTERNAAM]

Dan kan je remote de benodigde service starten. Laatst nog gedaan

Failed opening '/home/users/7942/signature.inc' for inclusion (include_path='.:') in /home/www/got/userstats.php on line 25

donderdag 10 mei 2012 13:35

Acties:

Jay-v

Uhhhh......

tasklist.exe /S SYSTEM /U USERNAME /P PASSWORD

Dan kan je zien welke user welke processen heeft draaien...

donderdag 10 mei 2012 13:39

Acties:

Frostbite

🤦🏻‍♂️

Als ze PC's over kunnen nemen kunnen ze toch ook zo zien wie het is?

donderdag 10 mei 2012 13:45

Acties:

Verwijderd

Topicstarter

Chips.. De misdadiger is offline gegaan, bedankt in ieder geval voor alle reacties! Morgen controleer ik alle computers na werktijd, en maak ik gelijk een documentatie van alle computernamen ( BEDANKT oude systeembeheerder voor je mooie documentatie ).

donderdag 10 mei 2012 13:46

Acties:

Xtremelead

powered by E-MU

Kan je op afstand de registry aanpassen?
in HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server moet je fDenyTSConnections op 0 zetten, zodat je via remote desktop de pc kan overnemen (voor zpver dit nog niet mogelijk was)

Dan met remote desktop op die pc inloggen. Je krijg als het goed is een melding dat er een bepaalde user reeds is ingelogd. Volgens mij krijg je dan ook de naam te zien van de betreffende gebruiker.

Jij bent degene die me opfokt!
JA JIJ!!!

donderdag 10 mei 2012 13:48

Acties:

Verwijderd

Topicstarter

Thnx Xtremelead, dit zal ik de volgende keer toepassen. Tevens heb ik Lansweeper op de server geknald, deze tool moet mij ook de uitkomst kunnen bieden.

alleen jammer dat de client zijn pc afgesloten heeft (ambtenaar)..

@Remco dat heb ik al aangegeven zie mijn reacties hierboven etc.

[ Voor 13% gewijzigd door Verwijderd op 10-05-2012 22:57 ]

donderdag 10 mei 2012 15:37

Acties:

Remco

Waarom run je niet een login script die de pc-naam en het userid wat inlogt wegschrijft naar een textfile?
Als de gebruiker dan de volgende keer inlogt weet je wie het is.

The best thing about UDP jokes is that I don't care if you get them or not.

vrijdag 11 mei 2012 00:59

Acties:

Frostbite

🤦🏻‍♂️

klopt ik heb een keer zo het systemid en username / pcnummer eruit gehaald. Via zo'n wmic command

Open a command prompt type in: Wmic bios get serialnumber.
Remote: wmic /user:administrator /node:machinename bios get serialnumber

in jouw geval zou je kunnen zetten
echo "%COMPUTERNAME% %USERNAME% > <netwerkschijf>:\%COMPUTERNAME-%USERNAME%.txt

zo krijg je dus een lijst met WG000-piet.txt, WG001-Karel.txt enz.

vrijdag 11 mei 2012 07:19

Acties:

Gomez12

Poor man's 2 second solution : mstsc erheen en je krijgt in beeld dat de computer in gebruik is door persoon x en er enkel aangemeld mag worden als persoon x of admin.

vrijdag 11 mei 2012 20:13

Acties:

Remco

Sc0rPi0N schreef op vrijdag 11 mei 2012 @ 00:59:
in jouw geval zou je kunnen zetten
echo "%COMPUTERNAME% %USERNAME% > <netwerkschijf>:\%COMPUTERNAME-%USERNAME%.txt
zo krijg je dus een lijst met WG000-piet.txt, WG001-Karel.txt enz.

Mooier is dan:

code:

1	echo "%COMPUTERNAME% %USERNAME% >> <netwerkschijf>:\Computerlog.txt

The best thing about UDP jokes is that I don't care if you get them or not.

vrijdag 11 mei 2012 20:21

Acties:

Jay-v

Uhhhh......

Remco schreef op vrijdag 11 mei 2012 @ 20:13:
[...]
Mooier is dan:
code:
1
echo "%COMPUTERNAME% %USERNAME% >> <netwerkschijf>:\Computerlog.txt

Nog mooier is om meteen weg te schrijven naar een CSV ;-).

vrijdag 11 mei 2012 21:09

Acties:

Gomez12

Jay-v schreef op vrijdag 11 mei 2012 @ 20:21:
[...]

Nog mooier is om meteen weg te schrijven naar een CSV ;-).

Oftewel vervang spatie door komma?

Maar waarom schrijft er niemand een datum / tijd weg (even genegeerd dat dat onder windows in batch een ramp is aangezien je zit met lokale tijd en notatie)

vrijdag 11 mei 2012 21:15

Acties:

diehard889

als deze workstation zich aanmeld kan je hem toch ook zien van uit de server onder de shared-folders/ open sessions / open files?

In een pashokje gaan zitten en dan roepen dat het wc papier op is.