38、Windows PowerShell：事件日志、服务、进程监控与活动目录操作指南

Windows PowerShell：事件日志、服务、进程监控与活动目录操作指南

1. 获取用户详细信息与关联进程

可以从Win32_Account对象获取用户详细信息。但如果用户使用缓存凭据登录，就无法获取其关联的Win32_Account对象，此时可通过解析已登录用户账户的Antecedent属性来找到其名称。

也可以反向操作，获取所有已登录用户账户并显示用户及其关联进程，示例代码如下：

Function Get-UserProcess{ Param ($Server=”.”) Get-wmiobject -computerName $server -class Win32_LoggedOnUser | Foreach-object { $d=[wmi]$_.dependent ; $Processes=get-wmiobject -query “associators of {$d} where resultclass=Win32_process” If ($Processes –ne $null) {$_.antecedent ; Format-table –autosize –wrap –inputobject $processes ` -property name, commandline, Processid}