Je cherche à savoir comment retracer quand un ordinateur a été renommé et par qui.
Je sais que vous pouvez extraire le journal des événements d'un ordinateur, mais j'ai besoin d'un rapport généré sur plus de 1000 PC pour une période de deux semaines :
Ou si elle a été retirée du domaine, par qui et quand.
Cela peut-il être fait du côté du serveur et si oui, comment ?
Il existe deux façons d'effectuer cet audit. La première, la plus longue, consiste à obtenir des informations pertinentes sur deux semaines :
csved -f ADfilename.csv -r objectClass=user et importez le csv exporté vers un fichier excel en filtrant les données par colonnes (Note : lors de l'importation, définissez le délimiteur sur des virgules et des tabulations pour obtenir les rubriques appropriées avant le filtrage).Exemple de données d'événements - avec filtrage par date/heure, etc.
NOTE : Cette partie peut prendre un certain temps car vous devez rechercher et filtrer tous les événements correspondants tout en comparant et en fusionnant à nouveau pour trouver tous les changements de noms NetBIOS.
Après cela, vous pouvez utiliser les programmes/scripts suivants pour effectuer une surveillance à long terme des événements de votre serveur AD et/ou des ordinateurs de votre entreprise :
La création de consommateurs d'événements permanents via script présente deux avantages. La première chose est qu'elle peut facilement être réalisée à distance. Par conséquent, je peux cibler plusieurs machines avec le script et créer le consommateur d'événements sur les machines distantes. La deuxième chose cool est le fait que les consommateurs d'événements permanents sont cool. Ils surveillent les événements et y répondent sans qu'il soit nécessaire qu'un script soit en cours d'exécution. Tu parles d'un truc cool ! J'exécute un script une fois, et ensuite mon ordinateur cherchera toujours un événement et y répondra.
Pour plus d'informations sur les classes WMI NetBIOS, voir ici.
Ce que vous voulez, c'est un abonnement initié par la source . Cela implique un GPO pour faire pointer les ordinateurs cibles vers le collecteur et la configuration des services du collecteur d'événements sur le collecteur. Une fois que vous commencez à recevoir des événements, vous pouvez filtrer les événements spécifiques dont vous avez besoin.
Vous pouvez obtenir la partie quand en regardant C:\Windows\Debug\netsetup.log Ce journal montre la jointure, la disjonction et le renommage du domaine.
L'événement 6011 ne rapporte pas la partie "qui". Cet événement n'est écrit que lors du redémarrage après le changement de nom. Et à moins que vous ne conserviez activement les événements des cibles pour les archiver à long terme avec quelque chose comme Splunk, ces événements peuvent ne plus apparaître dans les journaux d'événements des cibles individuelles. Si vous collectez des événements, faites un test de renommage et regardez si un événement différent est écrit après le renommage avec votre ID utilisateur avant le redémarrage.
J'utiliserais mon script pour cette tâche.
https://gallery.technet.microsoft.com/scriptcenter/Get-HtmlCSS3-reports-from-64cb3723
En gros, il cherchera toutes les informations des X derniers jours et les mettra dans une vue HTML5/CSS3.
Vous pouvez l'exécuter comme une tâche quotidienne par exemple
SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.
