Den letzten Login eines Benutzers abzufragen, kann in vielen Situationen sehr hilfreich sein. Hat sich Mitarbeiter Meier während seines Urlaubs am Terminalserver angemeldet? Oder wann hat sich eigentlich Fr. Schulze vor Ihrem Ausscheiden das letzte Mal angemeldet?

Diese Fragen können zwar harmloser Natur sein, aber es gibt auch denkbare rechtliche Szenarien in denen der letzte Login eines Benutzers von Bedeutung sein könnte.

Den letzten Login eines Benutzers per Powershell herausfinden

Für den häufigsten Fall, nämlich dass der Benutzer Mitglied einer Windows Domäne ist, lässt sich die Windows Powershell sehr gut für die Abfrage des letzten Login eines Benutzers verwenden. Hierfür sollte die Powershell mit Administratorrechten gestartet und zunächst das Modul für das Active Directory geladen werden:

Import-Module ActiveDirectory

Anschließend kann mit dem Cmdlet Get-ADUser eine Abfrage generiert werden, die genau die benötigten Informationen auswirft, nämlich den letzten Anmeldezeitpunkt eines bestimmten Benutzers an der Domäne:

Get-ADUser „“ -Properties LastLogonDate | Sort-Object -Property LastLogonDate -descending | FT -Property Name, LastLogonDate -A

Letzter Login eines Benutzers
Die letzte Anmeldung des Benutzers „Support1“ war am 28. Mai 2015 um 1:30 Uhr.

Durch diese zwei Zeilen lässt sich in kürzester Zeit der letzte Login eines Benutzers abfragen. Mit einer kleinen Änderung, können auch mehrere, bzw. die Logins sämtlicher Domänenbenutzer abgerufen werden. Hierfür muss statt des Parameters „<Username>“ ein Filter verwendet werden.

Beispiele:

  • Get-ADUser -filter * -Properties LastLogonDate  = Letzte Anmeldung aller AD-User
  • Get-ADUser -Filter „Surname -like ‚Sch*'“ -Properties LastLogonDate   = Letzte Anmeldung aller Benutzer deren Nachname mit ‚Sch‘ beginnt.

Wie Ihr seht, lassen sich mit ein paar wenigen Parametern sehr aussagekräftige Abfragen erstellen. Mit dem Anhang „>> file.txt“ können die Ergebnisse zudem zur weiteren Verwendung in eine Textdatei geschrieben werden.

Mit dem CMDLet Search-ADAccount lassen sich noch detailliertere Abfragen umsetzen: z.B.  inaktive Benutzerkonten in der Domäne suchen oder inaktive Computerkonten ermitteln.

Lokale Anmeldungen per WMIC-Abfrage auslesen

Um die letzte Anmeldezeit eines lokalen Benutzers an einem PC zu erfahren kann auf WMI zurückgegriffen werden. Hierzu öffnet man einfach die Windows Eingabeaufforderung mit Administratorrechten und schickt den folgenden Befehl ab:

wmic NetLogin get name, lastlogon

Die Abfrage dauert ein paar Sekunden, präsentiert dann aber die letzten Anmeldedaten sämtlicher lokaler Benutzer. AD-Benutzer werden zwar auch aufgeführt, jedoch ohne Datum. Wie bei WMI üblich, lässt sich die Abfrage auch remote auf anderen Rechner ausführen. Hierfür muss lediglich der Parameter /node: hinzugefügt werden. So lässt sich auch der letzte Login eines Benutzers auf einem entfernten Rechner auslesen.

Von nirsoft gibt hiefür ein schickes Tool mit einer grafischen Oberfläche: WinLogonView. Dieses Tool bedient sich übrigens den Einträgen des Windows Ereignisprotokolls und liefert somit die Daten für lokale User und Domänenbenutzer.

Auch interessant: Wann wurde ein Computer oder Server heruntergefahren, bzw. neu gestartet

Dieser Artikel ist wie alle anderen auf dieser Seite kostenlos für Dich und ich hoffe, ich konnte Dir weiterhelfen. Wer möchte, kann diesem Blog eine kleine Aufmerksamkeit in Form einer kleinen Spende (PayPal) oder über die Amazon Wunschliste zukommen lassen.