Wir haben das Problem das öffter mal ein Account gesperrt wird.
Dazu möchte ich gerne die Eventlogs der Domain Controller auslesen um die Ursache zu erforschen.
Ich habe also folgende Powershell benutzt:
Ich befülle $before = "23.10.2014 08:30:24" $after ="23.10.2014 09:20:36" und $Computer mit den DCs
$Event = Get-EventLog -LogName Security -ComputerName $computer -EntryType FailureAudit -InstanceId 4771 -after $after -Before $before
Ich bekomme nun eine Menge an Informationen. Interessieren würde mich nur $_.Message und $_.TimeGenerated
in dem Message block sollte aber nur dieser angezeigt werden, der den USER01 beinhaltet.
Wie kann man dies lösen ??