Mit der Windows PowerShell fehlerhafte Domänenanmeldungen finden v1

Sehr häufig finde ich in den Eventlogs von Domänencontroller viele fehlerhafte Anmeldeversuche. Häufige Probleme sind hierbei Smartphones auf denen nach der AD-Kennwortänderung nicht das Kennwort angepasst wurde aber auch diverse Backup-Agents  die sich mit dem genutzten Dienstkonto nicht immer erfolgreich anmelden können. Um hier bei der Menge der anfallenden LOGs den Überblick zu bewahren hier ein kleines Script. Das Script sucht im Sicherheitslog des Systems nach der Event-Id “4625” und Gruppiert das Ergebnis  in einer optisch überschaubaren Ausgabe.

ps-fehlerhafte-anmeldungen-1

Da Ereignisse bekanntlich da protokolliert werden wo sie auftreten muss das Script zum aktuellen Zeitpunkt auf jedem DC in der Domäne gestartet werden. Weiterhin greift das Script auf das Sicherheitslog zu und benötigt dafür bevorzugt Admin-Rechte.

### Fehlerhafte Domänenanmeldungen
### (C) Alexander Damm## Security Eventlog ausgeben.

get-eventlog -LogName security |

## EventID 4625 filtern.
Where-Object {$_.instanceID -like „*4625*“} |
## Objekte gruppieren.
Group-Object
{$_.replacementstrings[5]},

{$_.replacementstrings[6]},`
{$_.replacementstrings[19]} -NoElement |

## Nach Häufigkeit sortieren.
Sort-Object count -Descending |

## In ein neues Format bringen.
Select-Object   @{name=„Counter“
expression={$_.count}},
@{name=„User“
expression={$_.name}}|

## Als Liste ausgeben.
Format-List

Download AD-Anmeldefehler-Script

Ich arbeite weiter an dem Script damit alle DC mit einem Durchgang ausgelesen werden können. Mit Windows Server 8 wird das ganze dann noch leichter.

Dieser Eintrag wurde veröffentlicht in PowerShell und verschlagwortet mit von Alexander Damm. Permanenter Link zum Eintrag.
Alexander Damm

Über Alexander Damm

Seit Windows Server 2000 beschäftige ich mich mit den Betriebssystemen von Microsoft. Dabei liegen meine Schwerpunkte auf Active Directory, Exchange Server, Lync bzw. Skype for Business, Cloud Services wie Office 365 oder Azure sowie Security Analysen, Lösungen und Konzepte. Beruflich agiere ich als System Consultant für die datom GmbH aus Dresden und freue mich auf ihre Anmerkungen oder Anfragen.

Ein Gedanke zu „Mit der Windows PowerShell fehlerhafte Domänenanmeldungen finden v1

  1. Hallo Alexander,

    hier habe ich auch schon einiges rumprobiert, zum Teil mit gutem Erfolg.
    Was mir jedoch fehlt, ist meinen DC dazu zu bringen fehlerhafte Logins zu protokollieren. Hast du da einen Tipp für mich?
    Ich bekomme Kontoänderungen Erstellen Löschen Gruppenänderungen alles sauber per Mail zugesandt, jedoch beim fehlerhaften Loginversuch scheiterte ich bisher.

    LG
    Christian

Kommentar verfassen

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.