主页 / server / 问题 / 770073
Accepted
Vysakh
Asked: 2016-04-14 07:26:43 +0800 CST

如何获取特定用户帐户的所有登录时间

  • 772

我知道使用事件查看器来检查谁登录系统以及何时登录。但我试图找出一个特定的本地用户帐户,比如管理员 - 该机器上这个特定用户的登录日期和时间是什么。我使用这个脚本,它说我的登录总数,但不是全部。脚本如下。

'Get our list of logons
Set objWMIService = GetObject("winmgmts:\\.\root\cimv2")
Set colItems = objWMIService.ExecQuery("Select * from Win32_NetworkLoginProfile",,48)

'Converts to a readable logon date and time function ConvertTime(sTime)
if (sTime="**************.******+***") then
ConvertTime = "Unknown"
else
if (Trim(sTime)="") then
sTime="Unknown"
else
 sYear = Mid(sTime,1,4)
 sMonth = Mid(sTime,5,2)
 sDay = Mid(sTime,7,2)
 sHour = Mid(sTime,9,2)
 sMin = Mid(sTime,11,2)
 sSec = Mid(sTime,13,2)
end if 
ConvertTime = sMonth & "/" & sDay & "/" & sYear & " (" & sHour & ":" & sMin & ":" & sSec & ")"
end if
end function

'Loops through our logon items and only pulls out the 
'user accounts...not system accounts that are used
'internally by windows

For Each objItem in colItems
 if (objItem.UserType = "Normal Account") then
 Wscript.Echo objItem.Name & vbCrLf
 Wscript.Echo " Last Logon: " & ConvertTime(objItem.LastLogon)
 Wscript.Echo " Number of Logons: " & objItem.NumberOfLogons 
  if (objItem.Privileges=0) then
   WScript.Echo " (Guest Account)"
  else if (objItem.Privileges=1) then
   WScript.Echo " (Standard User Account)"
   else if (objItem.Privileges=2) then
    WScript.Echo " (Administrator Account)"
   end if
 end if
end if
WScript.Echo vbCrLf
end if  
Next

编辑以显示预期输出

Username: LocalPC\Administrator
Logon time: ------
Username: LocalPC\Administrator
Logon time: ------

有人可以告诉我如何修改这个脚本,或者有没有其他方法可以尽快以最简单的方式检查它。?提前致谢。

login windows-server-2012-r2 vbscript

3 个回答

  1. Technet上有很多这样的脚本:

    安全日志登录/注销事件报告器 此脚本读取安全日志,然后按时间顺序显示本地和远程登录和注销活动的记录,包括在组/本地策略中启用的失败尝试。如果需要,它允许输入日期范围和远程主机名。

    https://gallery.technet.microsoft.com/Log-Parser-to-Identify-8aac36bd

    • 0

  2. 我对脚本无能为力,但如果您急需信息,并且如果您使用的是 Server 2012 或 Server 2012R2,则有一个称为 IPAM 的功能。IPAM 功能的一部分允许您搜索从 AD、DNS 和 DHCP 收集的信息。您可以根据用户名、机器名或 IP 地址进行搜索。它可能会为您提供所需的一切。IPAM 旨在管理 DHCP,但它具有称为 IP 地址跟踪的功能https://technet.microsoft.com/en-us/library/jj878332.aspx这篇 TechNet 文章对此进行了解释,它确实显示了事件的时间。此外,如果您有权访问组策略管理,您可以使用组策略结果查看加入域的 PC 并查看谁登录了那里。该报告包含有关上次登录时间的信息。

    • 0
  3. Best Answer

    许多 powershell 脚本,例如在管道输出后选择特定用户的PDXCAT LogonHistory 。

    • 0

相关问题