我对Active Directory不是很熟悉,我一直在试图弄清楚是否有日志文件来检查会列出用户login次数,以检查未经授权的访问。 我在Windows 2008中运行Active Directory。
您可以通过组策略启用审核,还可以select审核成功和不成功的login。 请记住,如果您有多个DC,login可以由他们中的任何一个来处理,所以用户可以今天loginDC 1,明天loginDC 2。 另外,服务,应用程序和其他东西产生login审计,所以它往往会有点混乱。
您可以在事件查看器(2008年的Windows日志节点)下的安全日志中find审计。
如果您已将login事件logging到启用的安全事件日志中,则可以通过事件日志来parsing,以查找login尝试。 一个有用的工具是Sysinternals PSLoglist.exe。 ,您应该查询域控制器和文件服务器的活动。
有几个不同的5xx和6xx事件ID供您查找。 你将设置命令行如:
psloglist.exe \\domain_controller -d 1 -i 680<add more here> -s security 您也可以使用过滤的dsquery.exe查询来查找lastlogon时间等用户属性。
上面的post是正确的。 在站点中的DC将具有表示其已经服务的login的事件日志条目。 这可能是误导,由于提到的post的原因…以及像Kerberos机票更新一些其他人。 要真正获得好的照片,您还需要从工作站安全日志。 这可能是一种痛苦。 如果他们是XP,那么我会在慢时间内将其批量加载到您的中央日志主机。 如果他们是Vista或更高,您可以configuration事件转发。 这有一些先决条件,但它可能是最好的select。