Quem trabalha diretamente com a administração de contas de usuários no Windows já passou por alguma situação onde o RH informava no meio do dia que o funcionário seria desligado e não poderia ter acesso a mais nada. Desativar as contas é fácil mas como então encerrar a sessão do colaborador sem ter que ir até lá com a “foice” na mão? hehe
Bem, para esses casos alguns comandos podem fazer milagres. Podemos utilizar o comando “query session” para descobrir a sessão do usuário e em seguida encerrá-la. Assim:
Repare que neste exemplo utilizo o ip da estação onde será realizada a pesquisa, mas e quando não se sabe ao certo o IP da estação de trabalho do funcionário?
Para essas situações, utilizo a pesquisa pelo event viewer, criando um filtro de evento, mas ao invés de trabalhar com os campo pré-definidos, faremos a query diretamente pelo XML.
Algumas informações que precisei pesquisar antes de criar o filtro.
Registro onde estaria a informação que preciso: Segurança
ID do evento: 4624 (evento de login bem sucedido)
obs.: https://docs.microsoft.com/pt-br/windows/security/threat-protection/auditing/event-4624
Veja como ficou o XML…
E assim conseguimos obter o ip da estação onde o usuário efetuou logon recentemente.
