🥇Windows: 誰がどこにログインしているかを確認する

- ああ、何もうまくいきません、助けてください!
- 心配しないでください。今すぐすべて解決します。コンピューター名を付けてください...
(通話からテクニカルサポートまでのジャンルの古典)

BgInfo のようなツールを持っている場合、またはユーザーが Windows+Pause/Break ショートカットについて知っていて、その押し方を知っている場合は良いでしょう。まれに自分の車の名前を覚えた個体もいます。しかし、多くの場合、発信者は主な問題に加えて、コンピュータの名前/IP アドレスを調べるという XNUMX 番目の問題を抱えています。そして、多くの場合、この XNUMX 番目の問題を解決するには、最初の問題よりもはるかに時間がかかります (必要なのは、壁紙を変更するか、不足しているショートカットを戻すだけです:)。
しかし、次のようなことを聞くほうがずっといいです。
- タチアナ・セルゲイヴナ、心配しないでください、私はすでに接続しています...

そして、これには多くのことは必要ありません。
テクニカルサポートスペシャリストは、マシンの名前を記憶し、誰がどの作業を行っているかを覚えておくだけで済みます。
現在使用している解決策を説明する前に、他の選択肢を徹底的に批判し、私の選択を説明できるように簡単に見ていきます。

BG情報, デスクトップ情報など。お金がたくさんあれば、有料のものもあります。重要なのは、マシン名、IP アドレス、ログインなどの技術情報がデスクトップに表示されることです。 Desktop Info では、パフォーマンスグラフを画面の半分に押し込むこともできます。
私が気に入らないのは、たとえば、同じ Bginfo の場合、必要なデータを表示するためにユーザーがウィンドウを最小化する必要があることです。私も同僚も BgInfo を何度も観察しました。特徴的なアーティファクト、新しいテキストが古いテキストの上に表示される場合。
一部のユーザーは、管理者がデスクトップに伸ばした猫の顔に恐ろしい 192.168.0.123 を描画し、背景画像の美しさを損なっているという事実に腹を立てています。もちろん、これはひどくやる気を失わせ、労働意欲を完全に殺します。。
「私は誰ですか」というラベル (最後に疑問符を付けないでください:)。デスクトップ上の古典的なショートカット。その背後には、ダイアログボックスの形式で必要な情報を表示する、きちんとしたスクリプト、またはそれほどきちんとしていないスクリプトが隠されています。場合によっては、ショートカットの代わりにスクリプト自体をデスクトップに置くこともありますが、これはマナー違反です。
欠点は、最初のケースと同様に、ショートカットを起動するには、開いているすべてのウィンドウを最小化する必要があることです (作業マシンで唯一ソリティアウィンドウを開いている幸運の寵児は考慮されていません)。ところで、ユーザーはすべてのウィンドウを最小化するにはどこをクリックすればよいか知っていますか? そう、管理者の目には指が入っています。

このキャップはまた、上記で説明した両方の方法には、盲目であったり、愚かであったり、嘘をついていたりするユーザーが情報を取得する必要があるという主な欠点があることも示唆しています。
Windows のどこで自分のマシンの名前を調べればよいか誰もが知っているのであれば、私はコンピューターリテラシーを向上させるという選択肢は考えません。これは崇高な目的ではありますが、非常に困難です。そして、会社に従業員の離職があれば、それは完全に破滅です。何と言っても、ほとんどの場合、ログイン情報さえ覚えていません。

魂を注ぎ出し、いよいよ本題へ。
ハブロフ在住者のアイデアが基礎となった mittel のこの記事.
このアイデアの本質は、ユーザーが Windows にログインするときに、ログオンスクリプトによって必要な情報 (時刻とマシン名) がユーザーアカウントの特定の属性に入力されるということです。システムからログアウトすると、同様のログオフスクリプトが実行されます。

アイデア自体は気に入ったのですが、実装してみると不満な点がいくつかありました。

ユーザーのログオンスクリプトとログオフスクリプトを指定するグループポリシーはドメイン全体に適用されるため、スクリプトはユーザーがログインするすべてのマシンで実行されます。ターミナルソリューションをワークステーション (Microsoft RDS や Citrix 製品など) と一緒に使用する場合、このアプローチは不便になります。
データはユーザーアカウントの部門属性に入力され、平均的なユーザーはこの属性に読み取り専用アクセス権を持ちます。このスクリプトは、ユーザーアカウント属性に加えて、コンピューターアカウントの部門属性も変更しますが、既定ではユーザーはこれも変更できません。したがって、ソリューションを機能させるために、作成者は AD オブジェクトのセキュリティ設定標準を変更することを提案しています。
日付形式はターゲットマシンのローカリゼーション設定に依存するため、あるマシンからは 10 年 2018 月 14 日 53:11 を取得し、別のマシンからは 10/18/2 53:XNUMX を取得できます。

これらの欠点を解消するために、次のことが行われました。

GPO はドメインではなく、マシンを含む OU にリンクされています (私はユーザーとマシンを異なる OU に分離し、他の人にアドバイスしています)。さらに、ループバックポリシー処理モードモードが設定されています マージ.
スクリプトは属性内のユーザーアカウントにのみデータを書き込みます。 インフォ、ユーザーは自分のアカウントに対して個別に変更できます。
属性値を生成するコードを変更しました。

スクリプトは次のようになります。
SaveLogonInfoToAdUserAttrib.vbs

On Error Resume Next
Set wshShell = CreateObject("WScript.Shell")
strComputerName = wshShell.ExpandEnvironmentStrings("%COMPUTERNAME%")
Set adsinfo = CreateObject("ADSystemInfo")
Set oUser = GetObject("LDAP://" & adsinfo.UserName)
strMonth = Month(Now())
If Len(strMonth) < 2 then
  strMonth = "0" & strMonth
End If
strDay = Day(Now())
If Len(strDay) < 2 then
  strDay = "0" & strDay
End If
strTime = FormatDateTime(Now(),vbLongTime)
If Len(strTime) < 8 then
  strTime = "0" & strTime
End If
strTimeStamp = Year(Now()) & "/" & strMonth & "/" & strDay & " " & strTime
oUser.put "info", strTimeStamp & " <logon>" & " @ " & strComputerName
oUser.Setinfo

SaveLogoffInfoToAdUserAttrib.vbs

On Error Resume Next
Set wshShell = CreateObject("WScript.Shell")
strComputerName = wshShell.ExpandEnvironmentStrings("%COMPUTERNAME%")
Set adsinfo = CreateObject("ADSystemInfo")
Set oUser = GetObject("LDAP://" & adsinfo.UserName)
strMonth = Month(Now())
If Len(strMonth) < 2 then
  strMonth = "0" & strMonth
End If
strDay = Day(Now())
If Len(strDay) < 2 then
  strDay = "0" & strDay
End If
strTime = FormatDateTime(Now(),vbLongTime)
If Len(strTime) < 8 then
  strTime = "0" & strTime
End If
strTimeStamp = Year(Now()) & "/" & strMonth & "/" & strDay & " " & strTime
oUser.put "info", strTimeStamp & " <logoff>" & " @ " & strComputerName
oUser.Setinfo

ログオンスクリプトとログオフスクリプトの違いをすべて最初に見つけた人には、カルマのプラスが与えられます。 🙂
また、視覚的な情報を取得するために、次の小さな PS スクリプトが作成されました。
Get-UsersByPCsInfo.ps1

$OU = "OU=MyUsers,DC=mydomain,DC=com"
Get-ADUser -SearchBase $OU -Properties * -Filter * | Select-Object DisplayName, SamAccountName, info | Sort DisplayName | Out-GridView -Title "Информация по логонам" -Wait

合計すると、すべてが XNUMX、XNUMX、XNUMX で構成されます。

必要な設定を含む GPO を作成し、それをユーザーワークステーションのある部門にリンクします。
お茶を飲みに行きましょう (AD に多数のユーザーがいる場合、大量のお茶が必要になります :)
PS スクリプトを実行して結果を取得します。

ウィンドウの上部には、XNUMX つ以上のフィールドの値に基づいてデータを選択できる便利なフィルターがあります。テーブルの列をクリックすると、対応するフィールドの値によってレコードが並べ替えられます。

ソリューションを美しく「パッケージ化」することができます。

これを行うには、テクニカルサポートスペシャリスト用のスクリプトを起動するためのショートカットを追加します。「オブジェクト」フィールドには次のような内容が含まれます。
powershell.exe -NoLogo -ExecutionPolicy Bypass -File "servershareScriptsGet-UsersByPCsInfo.ps1"
テクニカルサポートの従業員が多数いる場合は、次を使用してショートカットを配布できます。 GPP.

最後にいくつかコメントを。

PowerShell の Active Directory モジュールは、PS スクリプトが起動されるマシンにインストールする必要があります (これを行うには、Windows コンポーネントに AD 管理ツールを追加するだけです)。
デフォルトでは、ユーザーは自分のアカウントの属性のほとんどを編集できません。以外の属性を使用する場合は、このことに留意してください。 インフォ.
関係するすべての同僚に、どの属性を使用するかを通知します。たとえば、同じ インフォ は、Exchange Server 管理パネルでユーザーのメールボックスに対話的にメモを追加するために使用されますが、誰かがそのメモを簡単に上書きしたり、追加した情報がスクリプトによって上書きされると悲しくなったりする可能性があります。
複数の Active Directory サイトがある場合は、レプリケーションの遅延を考慮してください。たとえば、AD サイト A からユーザーに関する最新情報を取得し、AD サイト B のマシンからスクリプトを実行する場合は、次のように実行できます。
Get-ADUser -Server DCfromSiteA -SearchBase $OU -Properties * -Filter * | Select-Object DisplayName, SamAccountName, info | Sort DisplayName | Out-GridView -Title "Информация по логонам" -Wait
DCfromサイトA — サイト A のドメインコントローラーの名前 (既定では、Get-AdUser コマンドレットは最も近いドメインコントローラーに接続します)

画像ソース

以下の簡単なアンケートにご協力いただければ幸いです。

登録ユーザーのみがアンケートに参加できます。ログインお願いします。

あなたは何を使うのですか？

bginfo、デスクトップ情報など(フリーウェア)
bginfo の有料類似物
記事の通りにやってみます
関係ありません、なぜならVDI/RDSなどを使用しています。
まだ何も使ってないけど検討中です
そんなデータ集める必要ないよ
その他（コメントで共有）

112 人のユーザーが投票しました。 39名のユーザーが棄権した。

出所： habr.com

Windows: 誰がどこにログインしているかを確認する

あなたは何を使うのですか？

コメントを追加します 返信をキャンセル

コメントを追加します返信をキャンセル