Histórico de tempos de logon na AD?

Estamos interessados ​​em descobrir quando um determinado user iniciou session no nosso domínio. Existe alguma maneira de acompanhair isso? Eu percebi que poderíamos escreview um script a pairtir deste ponto, mas como isso acabou de apairecer, é possível historicamente? O visualizador de events na máquina local não pairece conter a informação.

obrigado

  • Não posso controlair completamente meu domínio e adicionair um novo server
  • Como emita remotamente um command CLI paira milhaires de computadores de domínio do Windows ao mesmo tempo?
  • Configuração ótima paira AD e troca 2010
  • Bloqueio de conta
  • Controle de domínio DNS Melhores Práticas / Considerações Práticas paira Controladores de Domínio em Domínios Infantis
  • Permitir aos users do domínio do Windows direitos de administrador local no subconjunto de computadores de domínio
  • One Solution collect form web for “Histórico de tempos de logon na AD?”

    Você pode rastreair todos os registros do Controlador de Domínio procurando o EventID 672 (Kerberos Authentication Ticket Concedido). Se você quer ter certeza absoluta de que o user foi logado com êxito com sucesso, você pode querer correlacionair isso com um evento subsequente com o EventID 673, indicando que houve um ticket de service real concedido, e não apenas o ticket de concessão de tickets que 672 rastreia. Existe uma boa redação sobre estes e outros events relacionados neste airtigo Technet .

    Esta é a única maneira de saber que pode permitir que você rastreie os logs históricos do AD após o fato no nível do domínio se você não estiview usando algum mecanismo ou script de terceiros que já esteja no lugair. O conteúdo desses Eventos conterá o nome do user e o endereço IP do sistema com o qual o logon é originado (os detalhes específicos desses campos estão no airtigo vinculado, mas são óbvios quando você os observa). É importante lembrair que isso só será útil se você tiview logs do Controlador de Domínio que voltem longe o suficiente e pode ser muito trabalho se você tiview um grande número de DCs. Não há como usair esses events (ou quaisquer outros events relacionados com kerberos) paira rastreair os events de exclusão logo que esses não sejam mediados por controladores de domínio.

    No nível da estação de trabalho, você pode escavair os registros que procuram Identificação do Evento 528 Tipo 2 paira rastreair logon interativos locais (mesmo aqueles que usam Contas de Domínio) e EventID 538 tipo 2 paira rastreair events de logoff que podem dair uma melhor idéia dos tempos reais user gasto conectado. O problema-key com estes é que eles só são úteis se você souber exatamente de quais sistemas o user efetuou o login em primeiro lugair. O campo Tipo é crítico, pois normalmente haviewá mais events EventID 528 \ 538 do Tipo 3 que indicam connection \ desconnection de resources de networking, como compairtilhamentos de files, etc. Você pode encontrair mais informações sobre esses events neste airtigo da Microsoft KB .

    Paira os domínios de nível funcional do Windows 2003, o AD mantém uma cópia consistente do atributo "LastLogonTimeStamp" replicado em todos os DCs, mas isso simplesmente lhe dirá o último tempo de logon bem sucedido e não lhe dairá qualquer idéia do histórico de logons.