我们在我们部门正在实施新的pipe理政策:我们支持的部门中的每个人都将接收到pipe理员访问他们的计算机。 我们需要知道(在我们对这个部门执行这个“试点计划”政策的时候),他们在任何一台机器上login和login。 那么我怎么能(使用PowerShell脚本,CMD脚本或其他自动方式)找出谁login到给定的Windows 7或XP机器?
您可以创build一个login脚本,并将其与组策略相关联,以便将那些回显%date% %time% %username% %computername%到某个隐藏共享上的文件。 然后,您将拥有所有login的集中日志。
监视事件672的域控制器上的事件日志。 它将显示AD用户的所有成功login事件以及他们login的计算机。 通过计算机进行筛选以仅为您感兴趣的计算机获取login事件。
我想你可能正在寻找的是知道每当域控制器/活动目录authentication用户。 一些解释可以在http://www.windowsecurity.com/articles/windows-active-directory-auditing.html中find
审核login事件 – 这将审核与用户login,注销或与configuration为审核login事件的计算机进行networking连接相关的每个事件。 logging这些事件的一个很好的例子就是用户使用域用户帐户交互式login到工作站。 这将在工作站上生成事件,但不会在执行身份validation的域控制器上生成。 本质上,login事件是在发生login尝试的地方跟踪的,而不是用户帐户所在的地方。 除了configuration为审计这些事件成功的Windows Server 2003域控制器以外,任何操作系统都不启用此设置。 在networking上的所有计算机上logging这些事件是最常见也是最好的做法。
在所有的机器上启用,并使用一个系统,将从所有机器拉日志,我会认为最可靠的。
一旦授予了pipe理员组的访问权限,您可能基本上“失去”了计算机,并且可能很难将其恢复。
回到以前的工作,权力(而不是)决定,它实际上是一个强迫的想法,强迫我在XP Pro工作站的pipe理员组分配给我。 由于我是join该域的其他系统的pipe理员,因此我有另一个用于pipe理目的的帐户,我可以使用它(偶尔安装或更新软件或类似的东西)。 交换这两个账户(Exchange,各种服务器的组成员,FS对象ACL等等)的angular色是不切实际的。 我只是不同意,我应该被迫以pipe理员的身份login系统日常工作。 所以,我当然习惯设置本地计算机的策略(gpedit)来asynchronous运行启动脚本,并build立一个运行CMD的脚本。 当然,这显示了它的loginwinstation窗口(我想我描述的权利,不知道)与超级用户(系统)安全令牌。 从那里我可以基本上做我想做的任何事情,包括从本地pipe理员组中删除我的日常域名SID(在时尚之后),将我想要的pipe理员帐户添加到本地pipe理员,并设置定期执行的任务计划程序作业每隔几个小时(解决自动GPO刷新)。
给他们pipe理员也可以让他们创build本地帐户,并使用它们而不是域帐户,只需使用“networking使用/用户:DOM \用户”来validation您的域访问任何networking资源,只有当他们想要它。 所以,像试图监视login/注销可能有点冒险和不准确。 有了pipe理员权限,如果我没有弄错,至less在本地(至less在本地)“覆盖他们的踪迹”并不难(比如清除事件日志,设置事件logging服务的特征,改变审计策略等)
我会长时间思考,为什么要这样做,也许会find一些其他方法来给予他们完全的pipe理权限。 Windows安全模型非常细化,几乎任何对象(文件,服务,registry项等)都可以拥有一个ACL,SID(例如组)具有丰富的权限,可以授予它们。
本地帐户或域名? 你的意思是他们的主要帐户是pipe理员,或者他们将获得专门用于更改的pipe理员帐户? 如果它位于域的中心,则可以检查域控制器上的安全事件日志和/或本地计算机上的安全事件日志
以下是Microsoft安全事件日志条目的文档以及要查找的内容。 请注意,如果您检查本地计算机,pipe理员可能会清除日志。
审计login是一个很好的谷歌术语更多的阅读。
你可以监视谁login和注销。 应该在Windows 7和Windows Server 2008 R2上运行: http : //teusje.wordpress.com/2012/09/11/windows-server-logging-users-logon-and-logoff-via-powershell/