none
通过DC(域控制器上)的eventlog,是否可以查看到各个域用户在域中各个机器的登录注销记录 RRS feed

  • 问题

  • 根据一些资料和实际确认,我认为不行。

    当用域账户在域中机器A进行登录或注销时,,DC上是会出现一些4624(登录),4634(注销)记录,但我认为这些记录不具有参考价值。

    这只是用户登录机器A时,为了到DC进行账户验证,登录DC而产生的记录。

    不知道我的理解对不对?请指教。

    2016年11月22日 2:57

全部回复

  • 可以的,要开启审核日志的,然后在通过日志筛选的方法,查看安全日志,里面有的;

    计算配置\策略\Windows 设置\安全设置\本地策略\审核策略\审核登录事件

    关于具体事件 ID 参考:https://technet.microsoft.com/zh-cn/library/mt634186(v=vs.85).aspx

    注意:开启审核日志系统会产生大量的日志,注意磁盘空间。

    2016年11月22日 4:21
  • 我是要看登录机器A的记录,它会被记录到DC的eventlog里吗?应该只会被记录到机器A的eventlog里吧

    2016年11月22日 4:28
  • 如果是登录到域,必然需要联系DC,在DC的审核日志里会有。

    如果本地登录就只能在A机器上看了。

    2016年11月22日 5:03
  • 是的,会产生联系DC的log。

    DC上是会出现一些4624(登录),4634(注销)记录。但这些记录是机器A的后台服务为了验证,登录到DC的记录。

    准确的说,是用户登录机器A产生的间接log。不知道从这些间接log可以准确看出用户的登录注销时间?

    目前看,比较费劲。

    2016年11月22日 5:33
  • Hi,

    试试这个命令看看:

    Get-ADUser -Filter * -Properties * | select LastLogonDate,lastLogoff

    以管理员身份运行你的PS。

    如果在client上需要安装个RSAT然后运行以上命令。或者功能里面开启即可!

    Best regards,

    Andy


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2016年11月22日 7:23
  • Hi,

    试试这个命令看看:

    Get-ADUser -Filter * -Properties * | select LastLogonDate,lastLogoff

    以管理员身份运行你的PS。

    如果在client上需要安装个RSAT然后运行以上命令。或者功能里面开启即可!

    Best regards,

    Andy



    这个命令研究过,可以取得最近一次Logon时间,但是不能取得最近一次Logoff时间。

    另外,我想要的是所有域用户的所有登录注销时间,而不是最近一次的。

    还是非常感谢。

    2016年11月22日 7:53
  • Hi,

    看来我们只能用组策略和批处理命令了:

    创建一个登陆脚本并且通过组策略把它应用到所有users上面:

    脚本如下:

    @ECHO OFF
     echo %logonserver(or logoffserver)% %username% %computername% %date% %time% >> \\server\share$\logon.txt
     exit

    组策略位置:

    gpmc.msc\用户配置\策略\windows 设置\脚本

    目前来说还没发现更好的办法。。。

    Best regards,

    Andy


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2016年11月22日 8:15
  • Hi,

    看来我们只能用组策略和批处理命令了:

    创建一个登陆脚本并且通过组策略把它应用到所有users上面:

    脚本如下:

    @ECHO OFF
     echo %logonserver(or logoffserver)% %username% %computername% %date% %time% >> \\server\share$\logon.txt
     exit

    组策略位置:

    gpmc.msc\用户配置\策略\windows 设置\脚本

    目前来说还没发现更好的办法。。。

    Best regards,

    Andy


    这个方法考虑过,实在不行只能这样了。

    如果能从DC的eventlog取得到所有服务器的登录注销记录是最理想的,目前看比较困难。

    谢谢

    2016年11月22日 8:38
  • >>如果能从DC的eventlog取得到所有服务器的登录注销记录是最理想的,目前看比较困难。

    您可以尝试用事件转发, 配置一个专门的收集事件服务器, 把所有登陆服务器的相应logon 和logoff 事件汇总起来,然后统一分析处理,返回给你结果.

    组策略方法:

      电脑配置\策略\管理模板\windows 组件\事件转发

    或者参考以下链接:

    https://blogs.technet.microsoft.com/wincat/2008/08/11/quick-and-dirty-large-scale-eventing-for-windows/

    看图就行,英文不是问题。

    PS:其实个人感觉用SCCM和SCOM可能简单多了。。。。

    Best regards,

    Andy


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.


    2016年11月22日 9:03
  • OK,多谢,研究一下
    2016年11月22日 10:15
  • 不客气,如果有进一步的结果欢迎在这里分享, 我们这里如果有更好的办法也会贴在这里!

    另外,如果方便的话,可以标志一个您认为有帮助的回复, 感谢!

    Best regards,

    Andy


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2016年11月24日 8:54