Den letzten Login eines Benutzers abzufragen, kann in vielen Situationen sehr hilfreich sein. Hat sich Mitarbeiter Meier während seines Urlaubs am Terminalserver angemeldet? Oder wann hat sich eigentlich Fr. Schulze vor Ihrem Ausscheiden das letzte Mal angemeldet?

Diese Fragen können zwar harmloser Natur sein, aber es gibt auch denkbare rechtliche Szenarien in denen der letzte Login eines Benutzers von Bedeutung sein könnte.



Den letzten Login eines Benutzers per Powershell herausfinden

Für den häufigsten Fall, nämlich dass der Benutzer Mitglied einer Windows Domäne ist, lässt sich die Windows Powershell sehr gut für die Abfrage des letzten Login eines Benutzers verwenden. Hierfür sollte die Powershell mit Administratorrechten gestartet und zunächst das Modul für das Active Directory geladen werden:

Import-Module ActiveDirectory

Anschließend kann mit dem Cmdlet Get-ADUser eine Abfrage generiert werden, die genau die benötigten Informationen auswirft, nämlich den letzten Anmeldezeitpunkt eines bestimmten Benutzers an der Domäne:

Get-ADUser „“ -Properties LastLogonDate | Sort-Object -Property LastLogonDate -descending | FT -Property Name, LastLogonDate -A

Letzter Login eines Benutzers

Die letzte Anmeldung des Benutzers „Support1“ war am 28. Mai 2015 um 1:30 Uhr.

Durch diese zwei Zeilen lässt sich in kürzester Zeit der letzte Login eines Benutzers abfragen. Mit einer kleinen Änderung, können auch mehrere, bzw. die Logins sämtlicher Domänenbenutzer abgerufen werden. Hierfür muss statt des Parameters „<Username>“ ein Filter verwendet werden.

Beispiele:

  • Get-ADUser -filter * -Properties LastLogonDate  = Letzte Anmeldung aller AD-User
  • Get-ADUser -Filter „Surname -like ‚Sch*'“ -Properties LastLogonDate   = Letzte Anmeldung aller Benutzer deren Nachname mit ‚Sch‘ beginnt.

Wie Ihr seht, lassen sich mit ein paar wenigen Parametern sehr aussagekräftige Abfragen erstellen. Mit dem Anhang „>> file.txt“ können die Ergebnisse zudem zur weiteren Verwendung in eine Textdatei geschrieben werden.

Mit dem CMDLet Search-ADAccount lassen sich noch detailliertere Abfragen umsetzen: z.B.  inaktive Benutzerkonten in der Domäne suchen oder inaktive Computerkonten ermitteln.

Lokale Anmeldungen per WMIC-Abfrage auslesen

Um die letzte Anmeldezeit eines lokalen Benutzers an einem PC zu erfahren kann auf WMI zurückgegriffen werden. Hierzu öffnet man einfach die Windows Eingabeaufforderung mit Administratorrechten und schickt den folgenden Befehl ab:

wmic NetLogin get name, lastlogon

Die Abfrage dauert ein paar Sekunden, präsentiert dann aber die letzten Anmeldedaten sämtlicher lokaler Benutzer. AD-Benutzer werden zwar auch aufgeführt, jedoch ohne Datum. Wie bei WMI üblich, lässt sich die Abfrage auch remote auf anderen Rechner ausführen. Hierfür muss lediglich der Parameter /node: hinzugefügt werden. So lässt sich auch der letzte Login eines Benutzers auf einem entfernten Rechner auslesen.

Von nirsoft gibt hiefür ein schickes Tool mit einer grafischen Oberfläche: WinLogonView. Dieses Tool bedient sich übrigens den Einträgen des Windows Ereignisprotokolls und liefert somit die Daten für lokale User und Domänenbenutzer.

Wenn Dir diese Information weitergeholfen hat, kannst Du mir das gerne in die Kommentare schreiben. Ebenfalls freue ich mich über jede kleine Spende, die Du diesem Blog ganz unkompliziert über PayPalMe zukommen lassen kannst. Vielen Dank.

René Albarus

René Albarus

Ich heiße René Albarus und bin seit 2002 beruflich im Bereich der Systemadministration tätig. Da auch ich einen Teil meines Wissens IT-Blogs im Internet verdanke, ist es für mich selbstverständlich, dass ich Lösungsansätze und Anleitungen in diesem Blog weitergebe.
René Albarus
0 Kommentare

Dein Kommentar

An Diskussion beteiligen?
Hinterlasse uns Deinen Kommentar!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.