我们有承包商定期远程进入我们的生产服务器,善良知道他们可能做出什么样的改变。 那么,当用户login或退出服务器时,我可以使用什么来login?
Windows Server 2003 AD域
审计login事件所以,我环顾四周,发现你可以制定一个组策略(并将其应用到你的生产服务器OU),这个策略可以审计login事件,换句话说,当人们login或者closures你的服务器时,写一个事件日志。
为此,请打开组策略pipe理,然后在“组策略对象文件夹”中创build一个新的组策略对象给它一个描述性名称。 Audit_Remote_logons对我来说似乎已经足够了。 然后进入“计算机configuration – >策略 – > Windows设置 – >安全 – >本地策略 – >审计策略 – >然后打开审计login事件,然后启用”成功“和”失败“
现在,将GPO链接到您希望启用的OU。
或者,在生产服务器上运行“GPUdate / force”。 应用此策略后,您可以进入安全事件日志并查看成功的login/注销事件。