我知道你可以从本地安全策略编辑器做到这一点,但我想要一个命令行工具,我可以从一个自动脚本运行。 我需要这个Windows XP和以上的客户端。
附加问题(有点哲学):为什么审计用户login/注销默认情况下在Windows上启用? 它logging了许多其他的东西默认情况下是不太有用的(IMO),为什么不呢?
Auditpol会为你做这个 – 例如
auditpol /设置/子类别:“注销”/成功:启用/失败:启用
auditpol /设置/子类别:“login”/成功:启用/失败:启用
至于你的奖金问题,我怀疑这是一个在系统开销和实用性方面的折衷。 login\注销事件在Windows系统中非常常见 – 在一个开启了大量东西的典型域中,每天可能有数千个,我现在正在查看一个系统,现在每隔几秒就有几个。 这些并不是所有的交互式login,但是需要在特定的安全上下文中调用权限或者执行的任何东西都需要login和注销,这样就会有很多这样的情况发生。 logging“正确的”交互式用户login事件似乎是有用的,但默认情况下是有用的,但是在我的日子里,通过安全日志参与了一些拖网我认为这是一个好主意,感觉 – 我们发现一个可怜的用户正在被指责为一些事情,而这些用户竟然是别人(滥用特权),在嫌疑人系统上远程启动违规程序。