我正在尝试查找活动目录用户的 IP 地址。
如果用户登录到多台计算机,那么我需要查找这些计算机的所有 IP 地址。
我曾尝试通过比较用户的登录时间来获取用户登录的计算机名称。我不确定这是正确的方法。我正在使用 VC++
答案1
您尝试检索的数据并非原生存储在 Active Directory 对象中。您正在寻找 2 个部分:
- 用户登录了哪些系统
- 这些系统的 IP 地址是什么
可以使用具有属性 IPv4Address 和 IPv6Address 的 Get-ADComputer cmdlet 从 AD 中检索计算机的 IP 地址 - 但是该 cmdlet 使用简单的 DNS 查询来填充这些字段,并且它并不存储在 AD 对象本身中。
无论您的解决方案是什么,都需要某种脚本来获取所需的数据,而不需要涉及 Active Directory。
答案2
如果您将用户登录安全事件收集到 SIEM 解决方案中,则可以使用这些事件来确定与每个用户登录相关的 IP。如果您尚未将这些事件收集到中心位置,那么现在正是开始这么做的时候了。