26 votos

La fuerza usuario autenticado inmediata de cierre de sesión (en caso de emergencia)

En Active Directory si desea evitar que un usuario inicie la sesión en la que usted puede desactivar su cuenta o simplemente para restablecer su contraseña. Sin embargo, si usted es un usuario que ha iniciado sesión en una estación de trabajo y la necesidad de impedir el acceso a los recursos tan rápidamente como sea posible - ¿cómo hacerlo? Hablo de una situación de emergencia en la que un trabajador es despedido con efecto inmediato y no hay riesgo de que ellos causando estragos si no están excluidos de la red de forma inmediata.

Hace un par de días he tenido que hacer frente a un caso similar. Al principio no estaba seguro de cómo actuar. Impedir el acceso del usuario a los recursos compartidos de red es fácil, pero esto no es suficiente. Finalmente, me cambié el equipo de destino con el Stop-Computer -ComputerName <name> -Force cmdlet de PowerShell y, en mi caso esta resuelto el problema. Sin embargo, en algunos casos, esto podría no ser la mejor opción, dicen que si el usuario necesita para cortar se registra en varias estaciones de trabajo o en un ordenador que ofrece un servicio importante y usted no la puede apagar.

¿Cuál es la mejor solución posible de forma remota forzar el cierre de sesión de usuario de todas las estaciones de trabajo? Esto es incluso posible en Active Directory?

21voto

ETL Puntos 3418

Mejor solución: Un guardia de seguridad escoltar a la persona...

La segunda mejor solución:

  1. En primer lugar, compruebe el número de sesión con qwinsta: QWINSTA /servidor:computername
  2. Escriba el IDENTIFICADOR de sesión.
  3. A continuación, utilice el comando de cierre de sesión: cierre de sesión sessionID /servidor:computername.
C:\>qwinsta /?
Display information about Remote Desktop Sessions.

QUERY SESSION [sessionname | username | sessionid]
              [/SERVER:servername] [/MODE] [/FLOW] [/CONNECT] [/COUNTER] [/VM]

  sessionname         Identifies the session named sessionname.
  username            Identifies the session with user username.
  sessionid           Identifies the session with ID sessionid.
  /SERVER:servername  The server to be queried (default is current).
  /MODE               Display current line settings.
  /FLOW               Display current flow control settings.
  /CONNECT            Display current connect settings.
  /COUNTER            Display current Remote Desktop Services counters information.
  /VM                 Display information about sessions within virtual machines.


C:\>logoff /?
Terminates a session.

LOGOFF [sessionname | sessionid] [/SERVER:servername] [/V] [/VM]

  sessionname         The name of the session.
  sessionid           The ID of the session.
  /SERVER:servername  Specifies the Remote Desktop server containing the user
                      session to log off (default is current).
  /V                  Displays information about the actions performed.
  /VM                 Logs off a session on server or within virtual machine. The unique ID of the session needs to be specified.

5voto

David V Puntos 639

No del todo ANUNCIO se basa, sino que debe hacer lo que quiera.

Deshabilitar o caducar la cuenta

import-module activedirectory
set-aduser -identity "username" -accountexperationdate "12:09 pm"

o

set-aduser -identity "username" -enabled $false

A continuación, cerrar la sesión del usuario de su máquina

shutdown -m "\\computername" -l

Otra forma de cerrar la sesión del usuario es el uso de un sistema incorporado en la utilidad de windows, desde un símbolo del sistema administrativo

logoff 1 /SEVER:computername

Esta sesión id de la sesión 1 de la computadora remota. Si no conoce el id de sesión (1 es el valor por defecto), entonces usted puede utilizar quser contra la máquina remota para encontrarlo.

4voto

Gabriel Talavera Puntos 721

Puedes cerrar la sesión del usuario de forma remota con wmic:

1 - en Primer lugar, cambiar la contraseña de usuario:

C:\> wmic /node:[IPaddr] /user:[Admin] /password:[password] process call
  create "net user [user] [NewPassword]"

2 - a Continuación, deshabilite la cuenta:

C:\> wmic /node:[IPaddr] /user:[Admin] /password:[password] process call
  create "net user [user] /active:no"

3 - a Continuación, desconecte la sesión de usuario:

C:\> wmic /node:[IPaddr] /user:[Admin] /password:[password] process call
  create "tsdiscon"

Este tiene un valor añadido, ya que no suelta la sesión del usuario actual y, por tanto, a la hora de desbloquear las estaciones de trabajo que usted va a ser capaz de ver si él estaba tratando de hacer algo desagradable antes de ser escoltado a la puerta.

Todos los créditos a la Línea de Comandos de Kung Fu Blog. Hay un montón de locos de seguridad/forenses relacionadas con lo que hay!

ACTUALIZACIÓN: Los dos primeros pasos están pensados para los usuarios locales, en un entorno de active directory en realidad es más fácil, deshabilitar la cuenta y cambiar la contraseña en el ANUNCIO y, a continuación, ejecute el 3 de comando con el usuario malintencionado dirección IP.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: