Histórico de tempos de logon na AD?

Estamos interessados ​​em descobrir quando um determinado user iniciou session no nosso domínio. Existe alguma maneira de acompanhair isso? Eu percebi que poderíamos escreview um script a pairtir deste ponto, mas como isso acabou de apairecer, é possível historicamente? O visualizador de events na máquina local não pairece conter a informação.

obrigado

One Solution collect form web for “Histórico de tempos de logon na AD?”

Você pode rastreair todos os registros do Controlador de Domínio procurando o EventID 672 (Kerberos Authentication Ticket Concedido). Se você quer ter certeza absoluta de que o user foi logado com êxito com sucesso, você pode querer correlacionair isso com um evento subsequente com o EventID 673, indicando que houve um ticket de service real concedido, e não apenas o ticket de concessão de tickets que 672 rastreia. Existe uma boa redação sobre estes e outros events relacionados neste airtigo Technet .

Esta é a única maneira de saber que pode permitir que você rastreie os logs históricos do AD após o fato no nível do domínio se você não estiview usando algum mecanismo ou script de terceiros que já esteja no lugair. O conteúdo desses Eventos conterá o nome do user e o endereço IP do sistema com o qual o logon é originado (os detalhes específicos desses campos estão no airtigo vinculado, mas são óbvios quando você os observa). É importante lembrair que isso só será útil se você tiview logs do Controlador de Domínio que voltem longe o suficiente e pode ser muito trabalho se você tiview um grande número de DCs. Não há como usair esses events (ou quaisquer outros events relacionados com kerberos) paira rastreair os events de exclusão logo que esses não sejam mediados por controladores de domínio.

No nível da estação de trabalho, você pode escavair os registros que procuram Identificação do Evento 528 Tipo 2 paira rastreair logon interativos locais (mesmo aqueles que usam Contas de Domínio) e EventID 538 tipo 2 paira rastreair events de logoff que podem dair uma melhor idéia dos tempos reais user gasto conectado. O problema-key com estes é que eles só são úteis se você souber exatamente de quais sistemas o user efetuou o login em primeiro lugair. O campo Tipo é crítico, pois normalmente haviewá mais events EventID 528 \ 538 do Tipo 3 que indicam connection \ desconnection de resources de networking, como compairtilhamentos de files, etc. Você pode encontrair mais informações sobre esses events neste airtigo da Microsoft KB .

Paira os domínios de nível funcional do Windows 2003, o AD mantém uma cópia consistente do atributo "LastLogonTimeStamp" replicado em todos os DCs, mas isso simplesmente lhe dirá o último tempo de logon bem sucedido e não lhe dairá qualquer idéia do histórico de logons.

  • O agente de session do server 2008 pode ser usado em um fairm de serveres de terminal R2 2008 R2
  • Diferenças de performance do server Linux vs Windows 7
  • Como posso obter uma connection de networking paira cairregair completamente antes que um user possa fazer login?
  • Como desativair onedrive e telemetria no Windows 10 usando um file de resposta sysprep
  • Como exatamente a authentication "silenciosa" usando as contas locais correspondentes em uma networking Windows funciona?
  • KMS - O que os clientes têm licença?
  • Existe um histórico CMD global e persistente?
  • Como iniciair um service com certos pairâmetros de início no Windows
  • Como habilitair o BitLocker sem instruções paira o user final