none
Узнать, куда и когда логинился пользователь RRS feed

  • Вопрос

  • Имеется домен AD с контроллерами Windows Server 2012R2

    Иногда для СБ требуется дать ответ на вопрос "логинился ли в такой-то период, и если да, то куда и когда, такой-то пользователь".

    Какой софт порекомендуете для этого?

    16 января 2015 г. 14:23

Ответы

  • Есть кустарный метод вроде логон-скрипта (.vbs) для пользователя такого вида:

    On Error Resume Next 
    Dim adsinfo, ThisComp, oUser
    
    Set adsinfo = CreateObject("adsysteminfo")
    Set ThisComp = GetObject("LDAP://" & adsinfo.ComputerName)
    Set oUser = GetObject("LDAP://" & adsinfo.UserName)
    
    oUser.put "Description", "Logged on: " + ThisComp.cn + " " + CStr(Now)
    oUser.Setinfo
    

    Который будет записывать в атрибут "Description" пользователя имя машины и время входа.

    Очевидно, что пользователям должны быть делегированы права на запись атрибута "Description" для своей учетной записи, или любого другого атрибута, какой решите использовать. Грепнуть атрибуты сможете быстро с помощью командлета posh Get-ADuser. Минус один - видеть будете только последнюю станцию входа.

    Есть еще вариант вроде такого bat:

    echo %date% %time% %computername% %username% >> \\FILESERVER\SHARE\logons.txt
    
    Но разбирать хлма в этом файле будет тошно.

    21 января 2015 г. 8:19

Все ответы

  • Добрый день.

    По моему софт тут не нужен дополнительный.

    Достаточно логирования событий аудита вххода вв систему, аудит доступа к объектам на уровне объектов и политик.

    результат будет основываться на запросах по пимени пользователя и. Коду события аудита


    Я не волшебник, я только учусь MCTS Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции работодателя. Вся информация предоставляется как есть без каких-либо гарантий Мой Блог http://www.ru-technet.com/


    • Изменено Alexander RusinovModerator 16 января 2015 г. 16:56
    • Предложено в качестве ответа Alexander RusinovModerator 16 января 2015 г. 16:56
    • Отменено предложение в качестве ответа mst-user 16 января 2015 г. 17:04
    16 января 2015 г. 16:54
    Модератор
  • этот способ не подходит по нескольким причинам - лог безопасности на контроллере домена очень быстро переполняется (120МБ за несколько часов), а ставить размер лога в десятки гигабайт нет никакого желания.

    16 января 2015 г. 17:04
  • арксайт например, а вообще лог можно писать в SQL
    16 января 2015 г. 17:41
    Модератор
  • Если указаны явно сторонние коммерческие продукты, нет желания искать информацию в журналах, которые растут, то  то лучшим решением будет Netwrix. Оцените пробную версию, подумайте и целесообразности использования.
    17 января 2015 г. 11:29
  • Привет,sccm-user,

    Как успехи?


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий. Не забывайте помечать сообщения как ответы и полезные, если они Вам помогли.

    21 января 2015 г. 8:05
    Модератор
  • Есть кустарный метод вроде логон-скрипта (.vbs) для пользователя такого вида:

    On Error Resume Next 
    Dim adsinfo, ThisComp, oUser
    
    Set adsinfo = CreateObject("adsysteminfo")
    Set ThisComp = GetObject("LDAP://" & adsinfo.ComputerName)
    Set oUser = GetObject("LDAP://" & adsinfo.UserName)
    
    oUser.put "Description", "Logged on: " + ThisComp.cn + " " + CStr(Now)
    oUser.Setinfo
    

    Который будет записывать в атрибут "Description" пользователя имя машины и время входа.

    Очевидно, что пользователям должны быть делегированы права на запись атрибута "Description" для своей учетной записи, или любого другого атрибута, какой решите использовать. Грепнуть атрибуты сможете быстро с помощью командлета posh Get-ADuser. Минус один - видеть будете только последнюю станцию входа.

    Есть еще вариант вроде такого bat:

    echo %date% %time% %computername% %username% >> \\FILESERVER\SHARE\logons.txt
    
    Но разбирать хлма в этом файле будет тошно.

    21 января 2015 г. 8:19