我们有兴趣了解特定用户何时login到我们的域名。 有什么办法可以跟踪这个吗? 我意识到我们可以从这个angular度写一个脚本,但是由于这只是被揭示,历史上是否有可能? 本地计算机上的事件查看器似乎没有包含这些信息。
谢谢
您可以浏览所有域控制器日志查找EventID 672(授予Kerberos身份validation票证)。 如果您想确保用户后来成功login,则可能需要将其与事件ID为673的后续事件相关联,表明已授予实际的服务票据,而不仅仅是672跟踪的票据授予票据。 在这篇Technet文章中有关于这些和相关EventID的很好的文章 。
这是我知道的唯一方法,如果您没有使用已经存在的第三方机制或脚本,则可以在域级别跟踪历史ADlogin。 这些事件的内容将包含login发起的系统的用户名和IP地址(这些字段的具体细节在链接的文章中,但当你看它们时是显而易见的)。 重要的是要记住,只有在域控制器logging足够长的情况下才能使用,如果有大量的DC,则可能会有很多工作。 没有办法使用这些事件(或任何其他kerberos相关事件)来跟踪注销时间,因为那些不是由域控制器调解。
在工作站级别,您可以挖掘查找事件ID 528types2的日志,以跟踪本地交互式login(即使使用域帐户)和事件ID 538types2来跟踪注销事件,这可以让您更好地了解实际时间用户已经login了。关键问题在于,只有在您确切知道用户从哪个系统login时才有用。 “types”字段非常重要,因为通常会有更多types3的EventID 528 \ 538事件指示与networking资源(如文件共享等)的连接\断开连接。您可以在此Microsoft知识库文章中find有关这些事件的更多信息。
对于Windows 2003function级别的域,AD保留所有DC中复制的“LastLogonTimeStamp”属性的一致副本,但是这只会告诉你最后一次成功的login时间,并且不会给你任何关于login历史的信息。