I. Présentation
Dans ce tutoriel, je vais vous présenter l’outil PsLoggedOn issu de la suite SysInternals, dans laquelle on retrouve divers utilitaires comme le très célèbre PsExec.
Grâce à PSLoggedOn, vous allez pouvoir lister les utilisateurs connectés sur une machine, que ce soit les utilisateurs avec une session interactive ouverte (en local ou RDP) ou les utilisateurs connectés sur un partage (via le protocole SMB).
Cet outil n’est pas révolutionnaire, mais il est pratique, car il permet de faire une vérification rapide sur les accès d’un serveur avant d’envisager un redémarrage, par exemple.
II. Utilisation de PsLoggedOn
Si vous avez déjà un serveur équipé de la suite d’outils « PsTools« , cet utilitaire est déjà inclus dedans donc vous n’avez qu’à en profiter ! Il se présente sous la forme d’un exécutable portable. Sinon, direction le site de Microsoft pour le téléchargement en suivant ce lien :
Ensuite, l’outil s’utilise très simplement puisqu’il suffit d’appeler l’exécutable pour avoir les informations de la machine locale :
.\PsLoggedOn.exe
Comme le montre l’image ci-dessous, il y a une session ouverte (en RDP, en l’occurrence), ainsi qu’un accès sur un partage de la part d’un autre utilisateur.
Alors, oui, on peut visualiser les utilisateurs connectés via l’onglet « Utilisateurs » du Gestionnaire des tâches, mais cet onglet ne permet pas de visualiser les sessions SMB en cours. En complément, il faudrait accéder à la gestion de l’ordinateur pour visualiser cette information (ou utiliser la commande « net session« , par exemple).
Finalement, on peut dire que les informations affichées par PsLoggedOn sont récupérables par d’autres commandes ou en mode graphique, mais là ça permet d’avoir une commande unique et ultra simple à utiliser.
Là où c’est encore plus cool, c’est que l’on peut interroger une machine distante !
Pour interroger une machine distante et obtenir les informations pour la machine cible, il suffit de préciser son nom de cette façon (exemple avec le serveur « srv-adcs ») :
.\PsLoggedon.exe \\srv-adcs
Ainsi, je sais qu’il y a deux sessions ouvertes sur cette machine pour les comptes « admin.fb » et « Administrateur ». En ce qui concerne le compte « Administrateur » indiqué sous « Users logged on via resource shares » il correspond à l’accès effectué sur la machine distante par l’outil PsLoggedOn. C’est normal puisque PsLoggedOn s’appuie sur le service RemoteRegistry pour récolter les informations.
PsLoggedOn n’a pas de paramètres pour spécifier un nom d’utilisateur et un mot de passe donc le compte utilisé pour effectuer la requête doit avoir des droits d’administration sur la machine distante. Un détail à prendre en considération.
Si cet outil vous plaît, il ne vous reste plus qu’à l’ajouter à votre boîte à outils ! 🙂