Im Ereignisprotokoll "Sicherheit" auf einem Windows 2003-Domänencontroller werden mehrere Einträge von Ereignis 540 - "Erfolgreiche Netzwerkanmeldung" angezeigt, die im Durchschnitt einige Minuten voneinander entfernt sind.
Ist die erste davon für einen bestimmten Benutzer an einem bestimmten Tag unbedingt die Zeit, zu der sich der Benutzer an seinem Computer angemeldet hat?
Wenn nicht (oder sogar wenn ja), gibt es eine andere (bessere?) Möglichkeit, um festzustellen, wann sich der Benutzer morgens angemeldet hat?
Wenn Sie wissen, auf welchem Computer Ihr Benutzer gerade angemeldet ist, versuchen Sie es mit psloggedon in der Sysinternals Suite.
quelle
Für das AD User-Objekt gibt es ein Attribut namens Last-Logon-Timestamp. Es wird jedes Mal aktualisiert, wenn sich ein Benutzer anmeldet, wird jedoch nicht mehr als alle 14 Tage repliziert, da es zur Suche nach toten Konten verwendet werden soll. Es kann als genauerer Zähler verwendet werden, wenn Sie bereit sind, jeden Domänencontroller in der Domäne nach diesen Informationen abzufragen. Daraus können Sie einen Überblick darüber erstellen, wann sich Benutzer bei der Domain authentifiziert haben, wann immer dies geschieht, nicht nur am Morgen.
quelle
Die erste Frage aus Ihrem Titel "Wie wird festgestellt, wann sich ein Domain-Benutzer angemeldet hat" hängt davon ab, auf welcher Plattform sich der Benutzer anmeldet. Für Windows 2000 / XP / 2003 zeigt die Ereignis-ID 528 mit Anmeldetyp 2 interaktive Anmeldungen von einem lokalen oder Domänenkonto an. LogParser ist ein großartiges Tool zum Parsen der Ereignisprotokolle von einer großen Anzahl von Computern und unterstützt eine große Anzahl von Ausgaben. So können Sie beispielsweise das Sicherheitsprotokoll auf einem Remotecomputer abfragen und in eine tabulatorgetrennte Datei ausgeben:
Das Abfragen von Ereignissen aus den Sicherheitsprotokollen unter Windows Vista / 2008/7 unterscheidet sich geringfügig darin, dass sich das Protokolldateiformat sowie die Ereignis-IDs geändert haben. Die Ereignis-ID 4624 mit Anmeldetyp 2 zeigt erfolgreiche interaktive Anmeldungen an. Wir können das wevtutil verwenden , um ähnliche Daten abzufragen und im XML-Format auszugeben:
So wird die Ereignis-ID 540 in Ihren Sicherheitsereignisprotokollen auf Ihrem Domänencontroller angezeigt:
Ereignis 540 wird aus verschiedenen Gründen protokolliert. So könnte beispielsweise die Ereignis-ID 540 mit dem Anmeldetyp 3 angezeigt werden, wenn der Serverdienst auf eine gemeinsam genutzte Ressource zugreift. Hier sind die Anmeldetypen für diese von Microsoft bereitgestellte Ereignis-ID:
2 Interaktiv Ein Benutzer, der an der Konsole an diesem Computer angemeldet ist.
3 Netzwerk Ein Benutzer oder Computer, der vom Netzwerk an diesem Computer angemeldet ist.
4 Charge Batch-Anmeldetyp wird von Batch-Servern verwendet, auf denen Prozesse möglicherweise im Auftrag eines Benutzers ausgeführt werden, ohne dass der Benutzer direkt eingreift.
5 Service Ein Service wurde vom Service Control Manager gestartet.
7 Entsperren Diese Workstation wurde entsperrt.
8 NetworkCleartext Ein Benutzer, der in einem Netzwerk angemeldet ist. Das Kennwort des Benutzers wurde in unverfälschter Form an das Authentifizierungspaket übergeben. Die integrierten Authentifizierungspakete enthalten alle Hash-Anmeldeinformationen, bevor sie über das Netzwerk gesendet werden. Die Anmeldeinformationen durchlaufen das Netzwerk nicht im Klartext (auch als Klartext bezeichnet).
9 NewCredentials Ein Anrufer hat sein aktuelles Token geklont und neue Anmeldeinformationen für ausgehende Verbindungen angegeben. Die neue Anmeldesitzung hat dieselbe lokale Identität, verwendet jedoch andere Anmeldeinformationen für andere Netzwerkverbindungen.
10 RemoteInteractive Ein Benutzer, der sich über Terminaldienste oder eine Remotedesktopverbindung remote an diesem Computer angemeldet hat.
11 CachedInteractive Ein Benutzer, der an diesem Computer mit Netzwerkanmeldeinformationen angemeldet ist, die lokal auf dem Computer gespeichert wurden. Der Domänencontroller wurde nicht kontaktiert, um die Anmeldeinformationen zu überprüfen.
Fröhliches Jagen.
quelle
Sie könnten in einem Anmeldeskript eine Zeile erstellen, die irgendwo einen Zeitstempel in eine Datei schreibt?
Etwas wie?
Nettozeit >> \ server \ logonlogs \% username% .txt
quelle
Entschuldigung für den langen Beitrag, aber das ist, was ich benutze. Sie könnten dies wahrscheinlich ein wenig rationalisieren:
JR
quelle
Nicht im Zusammenhang mit Ihrer Frage, aber warum nicht diese Ereignisse herausfiltern? Sie sollten sich nicht darum kümmern, wenn Sie diese Ereignisrückgabe haben. Fehler mit einem Schweregrad von 3 oder höher, verschwenden Sie keine Zeit!
quelle
Wenn Sie nicht durch Ihre Sicherheitsprotokolle blättern müssen, können Sie auch die Tools zur Kontosperrung und -verwaltung (Link) ausprobieren . Dadurch wird den Kontodetails in ADUC eine zusätzliche Eigenschaftsseite hinzugefügt, einschließlich der "letzten Anmeldezeit".
quelle