远程访问域控制器安全事件

Question

我想从两个域控制器远程提取安全事件，以审核帐户的使用情况，并为帐户锁定提供指导。在DC上本地，只要Powershell以提升的权限运行，我的Powershell就能工作得很好。远程添加了用于AD "Builtin“文件夹安全组”事件日志阅读器“的帐户后，我可以远程访问安全事件以外的事件。但是，下面这样的行不适用于安全事件。返回零事件。

$events = Invoke-Command -ComputerName $dc -Credential $cred -scriptblock {Get-WinEvent -LogName Security -FilterXPath "*[System[EventID=4624] and EventData[Data[@Name='TargetUserName']=`'$account`']]"}

小贴士们很欣赏我如何通过远程提升特权的需求？

Answer 1

可以将参数ComputerName和Credential与Cmdlet Get-WinEvent一起使用，并查询如下所示的事件：

$events = Get-WinEvent -ComputerName $dc -Credential $cred -LogName Security -FilterXPath "*[System[EventID=4624] and EventData[Data[@Name='TargetUserName']=`'$account`']]"

或者-如果坚持使用Invoke-Command，则必须在ScriptBlock中使用$using:account而不是$account (如@Mathias在注释中所述)将局部变量发送到远程主机。

$events = Invoke-Command -ComputerName $dc -Credential $cred -scriptblock {Get-WinEvent -LogName Security -FilterXPath "*[System[EventID=4624] and EventData[Data[@Name='TargetUserName']=`'$using:account`']]"}