Bonjour,
Je pose la question en "debutant" sans savoir si c'est le bon endroit.
J'explique le postula de depart :
Une liste de serveur Windows sur lesquels une liste de cptes ouvrent des sessions. La question est de determiner d'où se connectent ces comptes (Nom de machine ou IP). Précsion, la source de la cxion au srv Windows peut etre un Windows ou un Linux.
A priori je pensais partir sur l'exploration du journal de secu (evenements 4624, 4672, ...) du serveur windows cible mais je ne parviens pas à avoir la source de la cxion.
Merci pour ce retour intéressant.
Mais ça ne répond vraiment à ce que je cherche.
Je pense que je vais prendre le probleme à l'envers en mettant mes collègues du réseau à contribution pour qu'ils me donnent la liste des IP s'étant connectées sur l'ip de la machine cible.
A partir de là il me suffira d'explorer le journal de secu sur le créneau horaire et, par comparaison, déterminer les comptes qui se sont connecter et déduire l'IP source. Un simple NSLOOKUP permettra de déterminer le nom de la machine source.
Ce qui est dommage c'est que l'AD n'enregistre pas par défaut le nom(ou l'ip) de la machine sur laquelle un compte ouvre une session.
J'avais deja fait la recherche pour un script que j'avais écrit dont le but était de déterminer la date de dernière utilisation d'un compte. Pour ce script j'allais explorer les journaux de secu de tous les DC AD de l'organisation et par comparaison, ne retenir que le dernier. J'aurais voulu pouvoir dire, en plus de la dernière date d'utilisation du compte, le nom de la machine de la dernière cxion.
