Hoje vou compartilhar um script que me ajudou muito recentemente.

É muito comum no dia-a-dia da administração de uma rede precisarmos saber quando e por quanto tempo um usuário ficou logado em um servidor.. Nas novas versões do Windows, por padrão vem habilitado a auditoria de login. Este recurso registra em log todos os acessos aos computadores. Porém, os logs do Windows nem sempre são amigáveis e fáceis de entender. Algumas ferramentas terceiras facilitam nossa vida, mais com o poweshell do Windows temos recursos suficientes para encontrarmos o que precisamos.

Powershell

Com o Powershell é possível consultar os logs do Windows e filtrar os resultados para uma melhor visualização e entendimento. Vamos ver a seguir os princípios básicos da nossa consulta.

Segue um exemplo de uma consulta:

PS C:\> Get-EventLog System -Source Microsoft-Windows-WinLogon -After (Get-Date).AddDays(-3)

Nesta consulta nos conseguimos obter todos os logins efetuados durante os últimos 3 dias. Porém o resultado é praticamente o mesmo que consultar o Event Viewer, normalmente não muito claro para saber o histórico de de login no computador.

Para filtrar e ter uma melhor visualização das informações podemos utilizar outros recursos do Powershell, segue abaixo o código que cria uma função chamada Get-LogonHistory:

PS C:\> function Get-LogonHistory{
Param (
[string]$Computer = (Read-Host Remote computer name),
[int]$Days = 10
)
cls
$Result = @()
Write-Host “Gathering Event Logs, this can take awhile…”
$ELogs = Get-EventLog System -Source Microsoft-Windows-WinLogon -After (Get-Date).AddDays(-$Days) -ComputerName $Computer
If ($ELogs)
{ Write-Host “Processing…”
ForEach ($Log in $ELogs)
{ If ($Log.InstanceId -eq 7001)
{ $ET = “Logon”
}
ElseIf ($Log.InstanceId -eq 7002)
{ $ET = “Logoff”
}
Else
{ Continue
}
$Result += New-Object PSObject -Property @{
Time = $Log.TimeWritten
‘Event Type’ = $ET
User = (New-Object System.Security.Principal.SecurityIdentifier $Log.ReplacementStrings[1]).Translate([System.Security.Principal.NTAccount])
}
}
$Result | Select Time,”Event Type”,User | Sort Time -Descending | Out-GridView
Write-Host “Done.”
}
Else
{ Write-Host “Problem with $Computer.”
Write-Host “If you see a ‘Network Path not found’ error, try starting the Remote Registry service on that computer.”
Write-Host “Or there are no logon/logoff events (XP requires auditing be turned on)”
}
}

Após executar o código acima basta executar a função criada na linha de comando do powershell:

PS C:\> Get-LogonHistory

Será solicitado o nome do computador:

Após inserir nome o PowerShell realizará a coleta dos logs e mostrará o resultado na seguinte tela:

Muito tranquilo de executar e o resultado é mostrado de forma clara, facilitando a informação para alguma auditoria por exemplo.

Até a próxima!!!!

O post Histórico de Login Servidores Windows apareceu primeiro em Explain IT.

Hoje vou mostrar pra vocês como fazer restore do Active Directory. Talvez vocês possam pensar: mas poxa, restore do AD? Tão simples voltar uma VM!

Nada disso!! O restore que vocês verão aqui é aquele que vai lááááá nas propriedades do usuário. Isso mesmo, o Veeam tem a incrível capacidade de restaurar, caso seja necessário, um atributo do user. Aí a brincadeira começou a ficar bacana né!

Abaixo estão as propriedades originais do usuário lab.service.

Não esqueçam que pra essa granularidade funcionar, no momento do backup, é necessário marcar a opção Enable application-aware processing, ok?

Agora imagine que alguém, por engano, tenha deletado os campos Display name e Street, nas propriedades do usuário Lab Service.

O caos foi instaurado na empresa. Milhões e milhões de dólares indo pelo ralo. Eis que chega você, O CARA da TI e fala: EU CONSIGO RECUPERAR. O diretor fala: então mostre!

Fácil: Primeiro abra o Veeam (óbvio). Ao acessar a área de BACKUP & REPLICATION, você verá o item Backups e logo abaixo Disk. No painel central, estarão todas os jobs e as VMs com backups realizados. O nome da VM do meu Domain Controller é JOAQUIM-DC.

Botão direito do mouse sobre a VM JOAQUIM-DC > Restore application items > Microsoft Active Directory objects…

Escolha a data que você deseja fazer  o restore.

Se quiser registrar o motivo do restore, a tela é essa. Se não quiser, basta avançar e concluir.

Após o Veeam montar a estrutura para o restore, você verá essa tela:

Chegou a hora de você salvar a empresa mas….mas….mas…. Qual era mesmo o usuário que havia sido alterado?? Qual é o usuário que você precisa recuperar as informações?

Pensando em salvar o emprego de muita gente, a Veeam criou uma maneira de você comparar seu ambiente atual, que está em produção, com o do backup. Isso mesmo, ele vai conectar no AD verificar o que foi alterado desde o backup até agora. Pra isso, basta navegar até a folder onde estão os usuários e clicar na opção Compare All Objects (que fica na barra superior).

Note que na coluna STATUS, o Veeam marcou como Changed o usuário Lab Service.

Se houver nessa pasta uma quantidade muito grande de usuários, ainda tem a opção de exibir apenas os objetos que sofreram alteração(ões). Para isso, clique em Show Changed Objects Only.

Nesse caso apenas o(s) usuário(s) alterado(s) é(são) exibido(s). No cenário atual, somente Lab Service.

Não tá satisfeito? Achou que tem poucas informações? Então clica com o botão direito sobre o usuário e vai em Compare selected object…

Você verá isso:

São 3 colunas: nome do campo, as informações que foram retiradas do backup e as informações atuais do AD. Por padrão, apenas os atributos alterados são exibidos. Caso queira visualizar todos os atributos, marque a check box Show unchanged attributes. Os atributos alterados serão destacados em negrito.

Nessa mesma tela, selecione o atributo que queira restaurar (se for mais de um, faça a seleção com a tecla Ctrl ou Shift pressionada) e clique em Restore na parte inferior da tela.

Finalizado o restore, será exibida a mensagem de conclusão.

E ao verificar os atributos no AD, magicamente, os dados foram restaurados!

O intuito desse post foi demonstrar o nível de granularidade que o Veeam consegue chegar em um restore. Além do AD, isso também se aplica, por exemplo, ao SharePoint, as GPOS, ao Exchange (nota 1000), enfim, opções não faltam.

A documentação oficial relacionada ao Explorer for Active Directory está pode ser encontrada aqui.

É isso aí pessoal, ficou meio longo, mas se dividisse em 2 partes ficaria ruim de entender. Espero que tenham gostado. Deixem seus comentários, sugestões para novos posts ou críticas.

Um abraço.

Joaquim

O post Restaurando o Microsoft Active Directory apareceu primeiro em Explain IT.