PowerShell Evento usuario nuevo creado

Pequeño script para detectar por el visor de eventos si se ha creado un usuario y si este usuario es admin (Por ejemplo para programar fuera del horario de producción )

Desde AD Buscamos evento 4720 (creación de usuarios)

$Usuairo=Get-Eventlog Security -InstanceId 4720 | select-object -first 1 |
Select-Object @{
n=’Usuario Creado’;
e={ ($_.message -replace ‘\n’, ‘ ‘) -replace ‘.?Nombre de cuenta SAM:\t+([^\s]+).‘, ‘$1’ }
},
@{
n=’Nombre de cuenta’;
e={ ($_.message -replace ‘\n’, ‘ ‘) -replace ‘.?Nombre de cuenta:\t+([^\s]+).‘, ‘$1’ }
}, TimeGenerated

#Miramos si es admin

$Usuairo.’Usuario Creado’

if (Get-ADGroupMember «admins. del dominio» | where-object {$_.name -like ($Usuairo.’Usuario Creado’)}){
(«El usuario es administrador del sistema » + $Usuairo.’Usuario Creado’)
}
else{ («El usuario es administrador del sistema » + $Usuairo.’Usuario Creado’)}

Deja una respuesta

Tu dirección de correo electrónico no será publicada.