Windows PowerShell:事件日志、服务、进程监控与活动目录操作指南
1. 获取用户详细信息与关联进程
可以从Win32_Account对象获取用户详细信息。但如果用户使用缓存凭据登录,就无法获取其关联的Win32_Account对象,此时可通过解析已登录用户账户的Antecedent属性来找到其名称。
也可以反向操作,获取所有已登录用户账户并显示用户及其关联进程,示例代码如下:
Function Get-UserProcess{ Param ($Server=”.”) Get-wmiobject -computerName $server -class Win32_LoggedOnUser | Foreach-object { $d=[wmi]$_.dependent ; $Processes=get-wmiobject -query “associators of {$d} where resultclass=Win32_process” If ($Processes –ne $null) {$_.antecedent ; Format-table –autosize –wrap –inputobject $processes ` -property name, commandline, Processid}
