Buenas Underc0ders,
Os comento la situación, tenemos la sospecha de que cierto usuario de nuestra compañía deja su turno desprotegido marchándose varias horas antes, y nos gustaría saber, si existe una forma de saber, (preferiblemente mediante powershell o herramientas de windows, directorio activo, etc), si el propio usuario está logueado en su máquina, o si sale como "ausente" dentro de la misma.
Pruebas que he hecho:
Ping constante a su máquina virtual:
Esto demostró que, su máquina empezó a soltar "time out" a la hora que sospechamos se marchó y dejó abandonado el puesto.
He utilizado este comando de powershell:
Get-ADUser -Identity XXXX -Properties "LastLogonDate"
Que me muestra esta información:
DistinguishedName : CN=xxxxxxxxxxx,OU=xxxxxxxxxx,OU=xxxxxxxxxx,OU=xxxxxxxxxx,OU=xxxxxx,DC=xxxxx,DC=xxxx,DC=xxxxxxxxxx
Enabled : True
GivenName : xxxxxxxxxxx
LastLogonDate : 10/1/2018 10:35:46 AM
Name : xxxxxxxxxxxxxxx
ObjectClass : user
ObjectGUID : xxxxxxxxxxxxx
SamAccountName : xxxxxxxxxxx
SID : xxxxxxxxxxxxx
Surname : xxxxxxxxxxx
UserPrincipalName : xxxxxxxxxxxxxx
(El formato sale al revés, aquí lo utilizamos a la inversa, su último Logon sale como el 1 de Octubre, es algo raro).
¿Se os ocurren formas de investigar esto? ¿qué haríais?
Evidentemente hemos tirado de ingenieria social, como hablarle por chat a determinadas horas y que no respnda hasta el día siguiente, pero esto no demuestra nada...
Muchas gracias de antemano!!!
Que tengáis un buen día.