好吧,我公司有超过500台桌面电脑,可以通过最后一次login时间戳来确认哪些是活动的,哪些不是 – 目前为止这么好。 我现在需要知道谁是login到活动目录的最后一个用户,理想情况下是从Active Directory获取此信息。
桌面分散在校园周围,可能每个月只login一次。所以,如果可能的话,而不是编写一个login时运行的脚本来识别用户等等,我宁愿从AD获取信息。 这样我就不用再等待未知的pc被打开,然后用户login并运行我的脚本。 如果把个人电脑留下来,我可以直接询问他们等等。但除了不经常使用,他们大部分时间都没有了。 识别用户可以帮助我识别电脑的位置等等。
我怀疑这些信息并不在AD内部,因为我已经search了,找不到,但问题没有什么坏处。 它是一个Windows XP的networking与XP和赢得7系统 – 谢谢
您可以使用域控制器上启用的“审核帐户login事件”来执行此操作,然后,您可以查看域控制器上的“帐户login”事件,并search特定条目以匹配您所在的用户/计算机如果您需要汇集来自各个域控制器的条目,则可以订阅pipe理工作站上的事件。
我相信像Splunk这样的工具也可以用于事件监控。
我在旧大学的工作上写了一个系统来做这件事。 它使用Windows wevtutil工具wevtutil在特定时间之后提取每个域控制器的安全日志的XML格式转储,然后parsing该XML文件以查找我感兴趣的事件。
wevtutil qe Security /r:$DC /q:"*[System[((EventID=$LogonID or EventID=$FLogonID or EventID=$LogoffID or EventID=$LockoutID) and TimeCreated[@SystemTime > '$LUFilterString'] and TimeCreated[@SystemTime < '$NowFilterString'] )]] "
它使用了一个XPath格式的查询string,所以我只能拉下我感兴趣的事件(login,注销,login失败,locking)。
然后将处理后的事件上传到我也创build的数据库中。 它更新了工作站的“最后login”信息以及用户的“最后login”字段。 这是可以理解的一个批处理过程,虽然实时方法完全可能比我拥有更多.Net技能。
这很有用。 我们设法追踪了22,000个温暖的身体(其中6K在校园里,在任何特定的时间login)的login/出/停工事件。 在忙碌的时候,我每小时上传了近25万条logging。
是的,那么多。
已login的作品会在域控制器上产生连续的login事件,我们会对其进行跟踪。 这是一个相当繁忙的数据库,我最终使用批量插入来更新每隔15分钟运行一次的表。
由于它将数据放到了一个方便的MS SQL表中,我们能够向我们的帮助台员工提供一些相当有用的数据。 例如,什么台(或IP地址)导致用户locking,用户login的最后一天工作站的价值以及用户login到特定工作站的情况。