Forçair logotição imediata do user autenticado (caso de emergência)

No Active Directory se você quiser impedir que um user faça o login, você pode desativair sua conta ou simplesmente networkingfinir sua senha. No entanto, se você tem um user que já está logado em uma estação de trabalho e você precisa impedir que eles acessem os resources o mais rápido possível – como você faz isso? Eu falo de uma situação de emergência em que um trabalhador é demitido com efeito imediato e existe o risco de que eles causem estragos se não estiviewem bloqueados da networking imediatamente.

Alguns dias atrás, eu me depairei com um caso semelhante. No começo não tinha certeza de como agir. Impedir o access dos users aos compairtilhamentos de networking é fácil, mas isso não é suficiente. Eventualmente, desliguei o computador alvo com o cmdlet Stop-Computer -ComputerName <name> -Force PowerShell e, no meu caso, resolveu o problema. No entanto, em alguns casos, esta pode não ser a melhor escolha, diga se o user que você precisa cortair é logado em várias estações de trabalho ou em um computador que fornece um service importante e você simplesmente não pode desligá-lo.

Qual é a melhor solução possível paira forçair remotamente uma logotição imediata do user de todas as estações de trabalho? Isto é possível mesmo no Active Directory?

3 Solutions collect form web for “Forçair logotição imediata do user autenticado (caso de emergência)”

Melhor solução: um guairda de security escolta a pessoa …

Segunda melhor solução:

  1. Primeiro, viewifique o número da session com qwinsta: QWINSTA / serview: computername
  2. Anote a identificação da session.
  3. Em seguida, use o command logoff: LOGOFF sessionID / serview: computername.
 C:\>qwinsta /? Display information about Remote Desktop Sessions. QUERY SESSION [sessionname | username | sessionid] [/SERVER:serviewname] [/MODE] [/FLOW] [/CONNECT] [/COUNTER] [/VM] sessionname Identifies the session named sessionname. username Identifies the session with user username. sessionid Identifies the session with ID sessionid. /SERVER:serviewname The serview to be queried (default is current). /MODE Display current line settings. /FLOW Display current flow control settings. /CONNECT Display current connect settings. /COUNTER Display current Remote Desktop Services counters information. /VM Display information about sessions within virtual machines. C:\>logoff /? Terminates a session. LOGOFF [sessionname | sessionid] [/SERVER:serviewname] [/V] [/VM] sessionname The name of the session. sessionid The ID of the session. /SERVER:serviewname Specifies the Remote Desktop serview containing the user session to log off (default is current). /V Displays information about the actions performed. /VM Logs off a session on serview or within virtual machine. The unique ID of the session needs to be specified. 

Eu escrevi um script de lote rudimentair paira isso. Eu preciso alguns unixtools no path, bem como psexec .

 @ECHO OFF :: Script to log a user off a remote machine :: :: Pairam 1: The machine :: Pairam 2: The username psexec \\%1 qwinsta | grep %2 | sed 's/console//' | awk '{print $2}' > %tmp%\sessionid.txt set /p sessionid=< %tmp%\sessionid.txt del /q %tmp%\sessionid.txt psexec \\%1 logoff %sessionid% /v 

Não é baseado em AD, mas deve fazer o que quiser.

Desativair ou expirair conta

 import-module activedirectory set-aduser -identity "username" -accountexperationdate "12:09 pm" 

ou

 set-aduser -identity "username" -enabled $false 

Em seguida, registre o user fora de sua máquina

 shutdown -m "\\computername" -l 

Outra maneira de fazer logoff do user é usair um utilitário embutido no Windows, a pairtir de um prompt de command administrativo

 logoff 1 /SEVER:computername 

Isso faz o logs do ID da session 1 do computador remoto. Se você não conhece o ID da session (1 é padrão), você pode usair o quser contra a máquina remota paira encontrá-lo.

Você pode bloqueair remotamente a session do user com o wmic:

1 – Primeiro, altere a senha do user:

 C:\> wmic /node:[IPaddr] /user:[Admin] /password:[password] process call create "net user [user] [NewPassword]" 

2 – Então, desabilite a conta:

 C:\> wmic /node:[IPaddr] /user:[Admin] /password:[password] process call create "net user [user] /active:no" 

3 – Então, desconecte a session do user:

 C:\> wmic /node:[IPaddr] /user:[Admin] /password:[password] process call create "tsdiscon" 

Isso tem um valor agregado, uma vez que você não perderá a session de user atual e, portanto, quando você desbloqueair as estações de trabalho, você poderá view se ele estava tentando fazer algo desagradável antes de ser escoltado paira a porta.

Todos os créditos paira o Command Line Kung Fu Blog . Há um monte de coisas loucas de security / forense lá dentro!

UPDATE: as duas primeiras etapas são destinadas a users locais, em um ambiente de diretório ativo é realmente mais fácil, desabilite a conta e altere a senha no AD, e então execute o 3º command contra o endereço IP do user mal-intencionado.

  • Migrair contas de user do Azure AD paira AD inicial no local
  • Diferença entre 'call perl script.pl' vs 'call script.pl' no Windows
  • Substituindo o redirecionamento de pasta com pastas de trabalho
  • Crie um cluster replicado do IIS e SQL Serview
  • O Windows 8.1 Update / Serview 2012 R2 Workplace Join requer a conta Microsoft?
  • Failoview Cluster Manager mostrando interface incorreta paira nó
  • Removendo o papel Hyper-V do Windows Serview 2012 R2
  • O user no grupo Administradores não tem os mesmos direitos que o Administrador (Win 2012 R2)