Как оперативно отключить пользователя находящегося в домене?

Question

[Zanuda28]

В определенных случаях есть необходимость быстро дистанционно заблокировать доступ пользователя к ПК. Если блокировать учетную запись в домене, то это сработает только если он решит перелогиниться. Есть какие то еще варианты?

Answer 1

[Вадим]

Я в AD новичок, но, первое что пришло в голову это просто выключить
shutdown /s /f /m \\RemoteComputer /t 0
Или перезапустить ему машину
shutdown /r /f /m \\RemoteComputer /t 0
Где RemoteComputer хостнейм или адрес

По сути еще можно делать удаленно logoff
logoff <SessionID> /server:<RemoteComputer>
Но желательно бы знать ID сессии, по идее если за машиной работал только один человек за сеанс её работы то ID всегда должен быть 1, но это не точно, и на сколько знаю утилиту quser запустить удаленно нельзя что бы посмотреть сессии :с

Но опять же, это придётся делать в ручную

Comments

[Rsa97]

quser /server:<ip_or_name>

[Вадим]

Rsa97, читал что есть такое параметр, пробовал по разному, но у меня возвращает только

Не существуют пользователи для *

если я пробую любую другую (не локальную) машину

[Rsa97]

Вадим, Машины в домене? Уровень доступа пользователя достаточный?
Как минимум, от админа домена всё работает.

[Zanuda28]

Rsa97,
quser /server:<ip_or_name>
От админа домена не работает. Ошибка:
Ошибка 0x000006BA перечисления сеансов
Ошибка [1722]:Сервер RPC недоступен.

Служба RPC работает

[Rsa97]

Zanuda28, В брандмауэре надо разрешить входящие подключения для удалённого администрарования

Software\Policies\Microsoft\WindowsFirewall\DomainProfile\RemoteAdminSettings\Enabled	1
Software\Policies\Microsoft\WindowsFirewall\DomainProfile\RemoteAdminSettings\RemoteAddresses	ваша_сеть/маска

Answer 2

[Alexey Dmitriev]

Как уже ответили выше-единственный способ - это найти, где он залогинен и выключить машину.
А вот чтобы знать эту информацию - можно использовать например startup скрипт в GPO, который будет писать имена машин, где залогинился пользователь, например в любой из пустых extended attributes УЗ пользователя в AD и shutdown скрипт, который будет удалять.

Comments

[Zanuda28]

Где он залогинен, я знаю. С этим проблем нет

Answer 3

[post_ed]

Я делал через psexec64
Выполняешь logoff на удаленном компьютере

Блокировку сеанса сначала делал, но в большинстве случаев пользователь может заново зайти, если в сети несколько контроллеров домена

Поэтому переключил на завершение сеанса

Comments

[Dupych]

Синхронизуйте контроллеры после произведенных манипуляций. Быстрее через сайт.
Реплицировать.

[post_ed]

Dupych, пробовал, большой процент, что не сработает.