我正在开发一个应用程序来跟踪Active Directory域中的networking用户login/注销事件; 该应用程序将通过审核域控制器上的安全日志来工作。
审核login事件可能会有些棘手,但可以成功完成。
我的问题:我如何跟踪注销事件?
根据我所做的一些研究,看起来这些事件只能在工作站上本地logging,而不能在DC上logging。 AD用户对象上还存在“lastLogoff”属性,但实际上并没有被任何人使用。
这是一个非常具体的问题:当用户从域工作站注销时,是否logging在DC上 ?
澄清:我没有在其他审计方法中进行讨论,我不能部署login/注销脚本,我无法在任何地方安装任何东西; 我也知道打开和closures的networking会话logging,但这不是我正在寻找。 我需要审核交互式login和注销域名工作站,我可以通过只读域控制器安全日志来做到这一点; 读取每个工作站的本地事件日志是没有问题的。
如果不能这样做,没关系; 但是我需要一个明确的答案。
你是正确的,他们没有login你的区议会。 然而,我相信(但不是肯定的),如果你的审计足够高的话,当有人断开networking驱动器时,会logging一个事件。 因此,如果您为用户映射驱动器,则可以跟踪他们的注销,但要查找“卸载”事件。 即使那样,我也不确定我会想要依靠那个。 你说你不能部署脚本,但我只是提到,如果你已经在你的环境。
看起来这是不能做的。
除了封闭的networking会话之外,用户注销时没有任何loginDC(但是它们可以随时closures,不仅在注销时closures)。