7

Я пытаюсь определить событие входа пользователя в систему Windows DC (Win Server 2012), но у меня возникают следующие проблемы:

  • Событие 4624 не совсем точно, потому что оно может быть сгенерировано автоматически. Например, когда групповая политика автоматически обновляется.

  • Локальный компьютер мог кэшировать учетные данные для пользователя, поэтому вход в систему не обнаруживается DC.

Моя главная цель - определить, когда пользователь получает доступ к своему компьютеру в нерабочее время, то есть с 22:00 до 7:00. Кроме того, мой единственный источник данных - это файлы .evtx, созданные в контроллере домена.

1 ответ1

2

Как вы указали, контроллер домена не регистрирует логины на удаленном компьютере с кэшированными учетными данными, поскольку компьютер не всегда может быть физически подключен к домену. Вместо этого вам придется проверять его компьютер напрямую, когда он подключен к сети.

Вы можете использовать Просмотр событий или команду wevtutil в командной строке для управления журналами событий на удаленном компьютере.

  1. Начать просмотр событий.
  2. Щелкните корневой узел, например Event Viewer (Local), в дереве консоли.
  3. В меню « Действие» выберите « Подключиться к другому компьютеру».
  4. В поле Другой компьютер введите имя или IP-адрес удаленного компьютера.
  5. (Необязательно) Выберите « Подключиться как другой пользователь», нажмите « Установить пользователя», введите имя пользователя и пароль, а затем нажмите « ОК».
  6. Нажмите ОК

Источник: Работа с журналами событий на удаленном компьютере - Microsoft TechNet.

Поиск события 4648. Была предпринята попытка входа в систему с использованием явных учетных данных на его компьютере.

Как говорится в описании, только при входе в систему используются явные учетные данные. Это событие генерируется при входе в систему или разблокировке даже с сохраненными учетными данными (например, удаленный рабочий стол).

Примечание. Как и в случае с любым другим событием, вы можете выполнить дополнительную фильтрацию, чтобы удалить любые автоматически сгенерированные события (реже встречается с 4648 и именем пользователя). Графический интерфейс (на вкладке «Фильтр») обеспечивает фильтрацию некоторых полей. Используя вкладку XML, вы можете фильтровать любое поле в пределах события.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .