2

Недавно я провел в офисе небольшой период времени, и мне удалось выгрузить журналы событий на USB-накопитель.

В офисе есть только машины XP Pro. Возможно ли, что там работает домен?

Что я должен искать в журналах событий, чтобы определить, находятся ли они в домене?

2 ответа2

1

Я бы порекомендовал вам проверить раздел Безопасность в Event Viewer (или соответствующий журнал):

Если вы откроете запись здесь, вы увидите запись в журнале для некоторого события аутентификации. Открытое мной событие было проверено на домене WINXP . Фактически это имя рабочей станции, а не контроллера домена:

Так что это может быть намек на то, что вся машина не подключена к домену. Если вы проверите больше записей, вы увидите, было ли когда-либо событие аутентификации на другом компьютере (возможно, контроллере домена).

Я не думаю, что это был бы надежный способ определить, является ли клиент на самом деле клиентом домена. Но это может помочь.


Просто FYI, быстрый способ определить, является ли компьютер частью домена, если у вас есть доступ к нему, может быть:

echo %LOGONSERVER%

в командной строке. Если он печатает имя локального компьютера, он не является частью домена. В противном случае следует вывести имя контроллера домена.

1

Просто выполните поиск для 3260, это событие, которое будет отображаться в системном журнале, когда ПК присоединяется к домену.

Событие 3260

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .