如果有人可以帮助,这将不胜感激。 我正在审计networking。 我有最近3个月在域中活动的计算机列表。 当用户login到计算机并用计算机名称写入文件时,我有一些脚本运行。 我有39台电脑,只有23台电脑上运行脚本。 所以我正在追赶其他16台电脑。 我的问题是如何找出谁最后login到给定的计算机名称?
提前谢谢了
查看这些机器上的安全事件日志。 这里将会有所有的login事件被审计。
您可以筛选事件528的日志。您在这些事件中查找的logintypes是2 ,这是一个交互式login。
MDMarra所指的registry键应该是HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Authentication \ LogonUI(假设比XP晚)。 查看LastLoggedOnUser。
创buildlogin脚本,loggingnetworking共享中每台计算机的用户名和date。 例如,将%username%和%date%信息附加到文件%computername%.txt然后,每当您对login到计算机的用户有任何疑问时,都应该按照文件中的时间顺序。