Bu PowerShell script'i, belirtilen bir kullanıcının (SAMAccountName formatında tanımlanan) Domain Controller'larda (DC) hesap kilitlenme (Account Lockout) olaylarını sorgulamak için yazılmış. Script, tüm DC'leri tarayarak her birinde Event ID 4740 (Hesap Kilitlenme) olaylarını kontrol eder.
Script'in işleyişi şu şekildedir:
Kullanıcı Adı Tanımlama:
$userName
değişkeni, aramak istediğiniz kullanıcı adını belirtiyor."kullanici_adi"
kısmını SAMAccountName formatında bir kullanıcı adı ile değiştirmelisiniz.Tüm Domain Controller'ları Almak:
(Get-ADDomainController -Filter *).Hostname
ifadesiyle tüm DC'lerin isimlerini$DomainControllers
adlı bir değişkene atar.Olay Günlüklerini Sorgulama: Her bir DC için,
Event ID 4740
olaylarını filtreler. Bu olay, bir hesabın kilitlendiğini belirtir.Sonuçların Filtrelenmesi:
$_.Properties[0].Value
değişkeni, kilitlenen hesabın adını içerir. Bu değer$userName
ile eşleşiyorsa olay listelenir.Sonuçların Çıktısı: Olayın gerçekleştiği zaman (
TimeCreated
), kilitlenen hesap adı (AccountLockedOut
) ve kilitlenmeye neden olan bilgisayar (CallerComputerName
) bilgileri listelenir.
Script'in çıktısı, olayların zaman damgalarını, kilitlenen hesap adını ve bu olaya neden olan bilgisayarın adını gösterir.
Örnek Kullanım:
Eğer kilitlenmeyi yaşayan kullanıcı adınız "hakan.test" ise script’in başındaki $userName
değişkenini şu şekilde güncelleyin:
# Tüm Domain Controller'lardan Event ID 4740'ı sorgulama
Aşağıdaki script DC üzerinde PowerShell ISE uygulaması admin yetkisi ile çalıştırılarak açılan ekrandanscript eklenir ve ardından çalıştır butonu sorgulama yapılır.
Script:
Hiç yorum yok:
Yorum Gönder