那些遇到过的问题

如何监控谁登录?

djh*_*987 6 powershell windows-7 windows-xp logging windows-command-prompt

我们部门正在实施一项新的管理政策:我们支持的部门中的每个人都将获得对其计算机的管理员访问权限。我们需要知道(当我们在这个部门执行这个“试点计划”政策时)谁在任何机器上登录,以及他们什么时候登录。那么我如何(使用 powershell 脚本、cmd 脚本或其他自动方式)找出谁登录到给定的 Windows 7 或 XP 机器?

Wes*_*ley 21

监视域控制器上的事件日志以查找事件 672。它将显示 AD 用户的所有成功登录事件以及他们从哪台计算机登录。按计算机过滤以仅获取您感兴趣的那些计算机的登录事件。

MDM*_*rra 11

您可以为那些%date% %time% %username% %computername%在某处隐藏共享上的文件回显的计算机制作登录脚本并将其链接到组策略中。然后,您将拥有所有登录的集中日志。

  • 大概还要注意注销时间。当您试图跟踪馅饼破裂时谁的手指伸入馅饼时,如果没有“超时”,“进入”实际上是无用的。 (3认同)
  • 啊,但是你真的能相信`%date%`和`%time%`吗?鉴于用户是管理员,他们可能会弄乱时区,甚至是非域环境中的日期/时间。 (3认同)
  • 我们以前做过这样的事情。请确保您对共享进行了监管,或者大约一年半后,您会想知道为什么该服务器会尖叫着说它的磁盘空间不足,而您突然发现到处都是文件,用户和机器名称散落在一个模糊的目录中。 . (2认同)
  • 如果您打开它,Windows 会将这个功能内置到日志系统中。您可以从每台机器集中拉取日志。我觉得这提供了更好的跟踪和更清晰的篡改证据。 (2认同)
  • @Zoredache 您已经相信机器会运行将数据远程推送到服务器的脚本。这个脚本如何导致不同级别的信任?至少对于审计日志,您可能会发现有人在不留下面包屑的情况下没有完全清除事物。在取证案件中一直发生。 (2认同)
  • @djhaskin987 感谢您的接受。如果这最适合您的环境,那么我很高兴我能提供帮助,但 WesleyDavid 的答案要可靠得多,而且健壮得多。我很欣赏 +15 代表,但它确实属于他。 (2认同)

归档时间:

查看次数:

1978 次

最近记录:

12 年,9 月 前
相关归档
让 Squid 使用 kerberos 和 Windows 2008/2003/7/XP 进行身份验证 15
如何在 Apache 上拥有每日错误和访问日志(适用于 Windows)? 11
UNC 快捷方式与映射网络驱动器 5
PowerShell - 查找所有用户的组成员身份并将其踢出他们 5
如何在不刻录 DVD 或使用 USB 驱动器的情况下安装 Windows 7? 3
为什么 Linux 上的 Postfix 在日志文件的路径名前需要一个“-”字符? 3
将窗口全部大写以用于特定应用 3
windows xp中如何访问网络上的每台计算机并修改hosts文件 1
是否有可能“拉皮条”Putty 以自动生成日志并在一个窗口中运行多个会话(类似 Linux“终端”)? 1
在每台台式 PC 上运行 Hyper-V Server 是否合适? -9
难疑归档
如何在 nginx 中强制或重定向到 SSL? 234
权限被拒绝(公钥)。从本地 Ubuntu 到 Amazon EC2 服务器的 SSH 227
在 Linux/OSX 上的 /etc/hosts/ 文件中,如何创建通配符子域? 199
负载均衡器和反向代理有什么区别? 153
在 CentOS 中向 $PATH 添加目录? 100
当我在 apt-get 更新后收到 KEYEXPIRED 错误消息时,我该怎么办? 75
SSH突然返回无效格式 72
如何使用反向代理正确处理相对 url 66
在 Root 妥协后重新安装? 59
php cli内存限制 52