Как получить список пользователей которые входили на компьютер?

Question

[ergacharsk]

Компьютер в домене. Задача: вывести список пользователей с датой последнего входа на него.

Answer 1

[MaxKozlov]

Парсить Security Event Log на соответствующем компе

event-4648
event-4647

event-4624
event-4634

типа

[DateTime]$StartDate = '2023-05-11'
[DateTime]$EndDate = '2023-05-12'
$ComputerName= 'targetcomputer'

$params = @{
  ComputerName=$ComputerName
	FilterXml = '<QueryList>
	  <Query Id="0" Path="Security">
        <Select Path="Security">*[System[(EventID=4647 or EventID=4648) and
        TimeCreated[@SystemTime&gt;='''+
        $StartDate.ToUniversalTime().ToString('u').Replace(' ','T') + ''' and 
        @SystemTime&lt;'''+
        $EndDate.ToUniversalTime().ToString('u').Replace(' ','T')+ ''']]]
        </Select>
	  </Query>
	</QueryList>'
}
$e = Get-WinEvent @params

# Ну и тут потом анализировать $e

Comments

[Роман Безруков]

Get-WinEvent -FilterHashtable @{ 
Logname = 'Security' 
ID = 4624, 4634 
StartTime = '2023-03-10' 
EndTime = '2023-03-12' 
Data = 'speed.racer' 
}

отсюда

[MaxKozlov]

FilterHashTable выглядит попроще, конечно :)
Но Data в контексте вопроса - лишнее.
Там нужен список, а не конкретный юзер

[Роман Безруков]

MaxKozlov, в случае списка - да, поле Data лишнее