En Active Directory, si desea evitar que un usuario inicie sesión, puede deshabilitar su cuenta o simplemente restablecer su contraseña. Sin embargo, si tiene un usuario que ya inició sesión en una estación de trabajo y necesita evitar que accedan a los recursos lo más rápido posible, ¿cómo lo hace? Hablo de una situación de emergencia en la que un trabajador es despedido con efecto inmediato y existe el riesgo de que cause estragos si no se bloquea la red de inmediato.
Hace unos días me enfrenté a un caso similar. Al principio no estaba seguro de cómo actuar. Evitar el acceso del usuario a los recursos compartidos de red es fácil, pero esto no es suficiente. Finalmente, apagué la computadora de destino con el Stop-Computer -ComputerName <name> -Force
cmdlet de PowerShell y en mi caso esto resolvió el problema. Sin embargo, en algunos casos, esta podría no ser la mejor opción, por ejemplo, si el usuario que necesita cortar está conectado en varias estaciones de trabajo o en una computadora que proporciona un servicio importante y simplemente no puede apagarlo.
¿Cuál es la mejor solución posible para forzar de forma remota el cierre de sesión inmediato de un usuario desde todas las estaciones de trabajo? ¿Es esto posible en Active Directory?
Respuestas:
La mejor solución: un guardia de seguridad escolta a la persona ...
Segunda mejor solución:
Escribí un script por lotes rudimentario para eso. Requiere un poco
unixtools
en el camino, así comopsexec
.fuente
No está completamente basado en AD, pero debe hacer lo que quiera.
Deshabilitar o caducar cuenta
o
Luego desconecte al usuario de su máquina
Otra forma de cerrar la sesión del usuario es utilizar una utilidad integrada de Windows, desde un símbolo del sistema administrativo
Esto cierra la sesión ID 1 de la computadora remota. Si no conoce el ID de la sesión (1 es el predeterminado), puede usar quser contra la máquina remota para encontrarlo.
fuente
shutdown
comando por defecto en realidad no se cierra, pero cierra la sesión del usuario .Puede bloquear la sesión del usuario de forma remota con wmic:
1 - Primero, cambie la contraseña del usuario:
2 - Luego, deshabilita la cuenta:
3 - Luego, desconecta la sesión del usuario:
Esto tiene un valor agregado, ya que no perderá la sesión de usuario actual y, por lo tanto, cuando desbloquee las estaciones de trabajo, podrá ver si estaba tratando de hacer algo desagradable antes de ser escoltado hasta la puerta.
Todos los créditos para Command Line Kung Fu Blog . ¡Hay un montón de cosas locas relacionadas con la seguridad / forense allí!
ACTUALIZACIÓN: Los dos primeros pasos están destinados a usuarios locales, en un entorno de directorio activo es realmente más fácil, deshabilita la cuenta y cambia la contraseña en AD, y luego ejecuta el tercer comando contra la dirección IP del usuario malicioso.
fuente
wmic..."tsdiscon"
solo funciona en XP . En Vista +, este comando no puede desconectar la sesión de la consola.Simplemente cambie las horas de inicio de sesión a inicio de sesión denegado para todas las horas en las propiedades del usuario. Eso los desconectará inmediatamente de donde estén conectados.
fuente