ajg*_*ajg 4 windows active-directory
我们有兴趣了解特定用户何时登录到我们的域。有什么办法可以跟踪这个吗?我意识到我们可以从现在开始写一个脚本,但由于这才刚刚曝光,历史上有可能吗?本地机器上的事件查看器似乎不包含该信息。
谢谢
您可以在所有域控制器日志中查找 EventID 672(授予 Kerberos 身份验证票证)。如果您想绝对确定用户随后成功登录,您可能希望将此与具有 EventID 673 的后续事件相关联,该事件指示授予了实际服务票证,而不仅仅是 672 跟踪的票证授予票证。在这篇 Technet 文章中有一篇关于这些和相关 EventID 的好文章。
这是我所知道的唯一一种方法,如果您没有使用已经存在的第三方机制或脚本,那么您可以在事后在域级别跟踪历史 AD 登录。这些事件的内容将包含用户名和登录所源自系统的 IP 地址(这些字段的具体细节在链接的文章中,但当您查看它们时很明显)。重要的是要记住,只有在域控制器日志可以追溯到足够远的情况下,这才有用,如果您有大量 DC,则可能需要大量工作。无法使用这些事件(或任何其他与 kerberos 相关的事件)来跟踪注销时间,因为这些事件不是由域控制器调节的。
在工作站级别,您可以挖掘日志以查找事件 ID 528 类型 2 以跟踪本地交互式登录(即使是那些使用域帐户的登录)和事件 ID 538 类型 2 以跟踪注销事件,这可以让您更好地了解实际时间用户花费在登录上。这些的关键问题是它们只有在您首先确切知道用户从哪些系统登录时才有用。类型字段至关重要,因为通常会有更多类型 3 的 EventID 528\538 事件,这些事件指示与网络资源(如文件共享等)的连接/断开连接。您可以在此 Microsoft KB 文章 中找到有关这些事件的更多信息。
对于 Windows 2003 功能级别域,AD 保留了跨所有 DC 复制的“LastLogonTimeStamp”属性的一致副本,但这只会告诉您上次成功登录的时间,而不会让您了解登录历史。