Уведомление о блокировке учетной записи электронной почты - Powershell

Question

Я хочу отправить электронное письмо на событие SysAdmin с кодом 4625 (блокировка учетной записи).

У меня есть следующий код, и он работает просто найти. См. Вывод прилагается :

Текущий код:

$AccountLockOutEvent = Get-EventLog -LogName "Security" -InstanceID 4625 -Newest 1
$LockedAccount = $($AccountLockOutEvent.ReplacementStrings[0])
$AccountLockOutEventTime = $AccountLockOutEvent.TimeGenerated
$AccountLockOutEventMessage = $AccountLockOutEvent.Message
$messageParameters = @{ 
Subject = "Account Locked Out: $LockedAccount" 
Body = "Account $LockedAccount was locked out on $AccountLockOutEventTime..`n`nEvent 
Details:`n`n$AccountLockOutEventMessage"
From = "" 
To = "" 
SmtpServer = ""
} 
Send-MailMessage @messageParameters

Вопрос к гуру Powershell

1 - Как я могу получить точную причину блокировки вместо %% 2313 и другой информации, такой как имя samaccount. Вместо этого, используя Учетную запись заблокированную s-1-0-0 в строке темы, я хочу видеть там имя Учетной записи.
2 - есть ли способ получить информацию ADuser, чтобы мы могли отправить пользователю электронное письмо в то же время, сообщив об этом? что их учетная запись была заблокирована, чтобы связаться с SysAdmin, чтобы разблокировать учетную запись?

Answer 1

Вы можете использовать этот фрагмент, чтобы получить вывод, который содержит необходимые поля. SubjectUserName и SubjectDomainName.

$events = Get-WinEvent -FilterHashtable @{logname='Security'; ID=4625; } -MaxEvents 1 
$event = $events
[xml]$eventXML = [xml]$Event.ToXml()
$eventXML.Event.EventData.Data

Вывод будет выглядеть следующим образом.

Name              #text       ----              -----   
SubjectUserSid    S-0-0-00-0000000000-0000000000-0000000000-0000       
SubjectUserName   MyUsername      
SubjectDomainName MyHostname           
SubjectLogonId    0x00000000           
PrivilegeList     SeSecurityPrivilege