Вынудите аутентифицируемого пользователя непосредственный выход из системы (экстренный случай)

Best solution: A security guard escort the person out...

Second best solution:

1. First, check the session number with qwinsta: QWINSTA /server:computername
2. Write down the session ID.
3. Then use the logoff command: LOGOFF sessionID /server:computername.

C:\>qwinsta /?
Display information about Remote Desktop Sessions.

QUERY SESSION [sessionname | username | sessionid]
 [/SERVER:servername] [/MODE] [/FLOW] [/CONNECT] [/COUNTER] [/VM]

 sessionname Identifies the session named sessionname.
 username Identifies the session with user username.
 sessionid Identifies the session with ID sessionid.
 /SERVER:servername The server to be queried (default is current).
 /MODE Display current line settings.
 /FLOW Display current flow control settings.
 /CONNECT Display current connect settings.
 /COUNTER Display current Remote Desktop Services counters information.
 /VM Display information about sessions within virtual machines.


C:\>logoff /?
Terminates a session.

LOGOFF [sessionname | sessionid] [/SERVER:servername] [/V] [/VM]

 sessionname The name of the session.
 sessionid The ID of the session.
 /SERVER:servername Specifies the Remote Desktop server containing the user
 session to log off (default is current).
 /V Displays information about the actions performed.
 /VM Logs off a session on server or within virtual machine. The unique ID of the session needs to be specified.

I wrote a rudimentary batch script for that. I requires some unixtools in the path as well as psexec.

@ECHO OFF
:: Script to log a user off a remote machine
::
:: Param 1: The machine
:: Param 2: The username

psexec \\%1 qwinsta | grep %2 | sed 's/console//' | awk '{print $2}' > %tmp%\sessionid.txt
set /p sessionid=< %tmp%\sessionid.txt
del /q %tmp%\sessionid.txt
psexec \\%1 logoff %sessionid% /v

Вы можете заблокировать сеанс пользователя удаленно с помощью wmic:

1 - Сначала измените пароль пользователя:

C:\> wmic /node:[IPaddr] /user:[Admin] /password:[password] process call
  create "net user [user] [NewPassword]"

2 - Затем отключите учетную запись:

C:\> wmic /node:[IPaddr] /user:[Admin] /password:[password] process call
  create "net user [user] /active:no"

3 - Затем, отключить сеанс пользователя:

C:\> wmic /node:[IPaddr] /user:[Admin] /password:[password] process call
  create "tsdiscon"

Это имеет дополнительную ценность, так как вы не потеряете текущий сеанс пользователя и, следовательно, когда вы разблокируете рабочие станции, вы сможете увидеть, пытался ли он сделать что-то неприятное, прежде чем его сопровождают в дверь.

Все кредиты на Блог о кунг-фу из командной строки . Там куча сумасшедших вещей, связанных с безопасностью и криминалистикой!

ОБНОВЛЕНИЕ: Первые два шага предназначены для локальных пользователей, в среде активного каталога на самом деле проще, отключить учетную запись и изменить пароль в AD, а затем запустить третью команду против IP-адреса злонамеренного пользователя.

Не полностью основан на AD, но должен делать то, что вы хотите.

Отключить или истечь срок действия учетной записи

import-module activedirectory
set-aduser -identity "username" -accountexperationdate "12:09 pm"

или

set-aduser -identity "username" -enabled $false

Затем выйдите из системы пользователя на его машине

shutdown -m "\\computername" -l

Другой способ выйти из системы пользователь должен использовать встроенную утилиту Windows из административной командной строки

logoff 1 /SEVER:computername

. Это завершает сеанс с идентификатором 1 с удаленного компьютера. Если вы не знаете идентификатор сеанса (по умолчанию - 1), вы можете использовать quser на удаленной машине, чтобы найти его.

Просто измените часы входа в систему, чтобы вход был запрещен для всех часов в свойствах пользователя. Это немедленно выведет их из системы, где бы они ни вошли в систему.