none
該用什麼方式取得session timeout次數 RRS feed

  • 問題

  • 採用server 2003架設AD,將Windows XP電腦加到網域中,利用windows所提供的工具winexit.scr (http://support.microsoft.com/kb/314999/zh-tw)讓XP強制登出。

     

    因為想稽核使用者行為,必須抓到session timeout的次數,本來想從安全性記錄檔取得,然而,該工具寫在XP本機的安全性記錄是正常的登出事件代碼551,所以沒辦法從事件檔取得次數資訊(奇怪的是,在server 2003上面,沒有寫入事件,但一般正常的登出也沒寫入安全性事件,這是另一個問題)。

     

    請問該朝什麼方向?或是有什麼其他的方式達成?

     

    感謝您看完我的問題,謝謝!

     

    2007年5月8日 下午 03:13

解答

  • 提供您一個方向: (若您希望可以從事件檢視器Security Log計算次數的話)

    1. 將winexit.src置於欲監控Security Log的主機上. 例如在DC上的某一個共用資料夾.
    2. 從共用資料夾中把winexit.scr產生一個Shortcut, 置於每一台Clients的%systemroot%\system32下.
    3. 設定好Clients的螢幕保護 (winexit.scr).
    4. 在DC上建立"物件"稽核原則, 目標當然就是共用資料夾中的winexit.scr, 而稽核對象選擇Authenticated Users即可.

    只要Clients一旦進入session timeout倒數, 立即就在DC產生Event ID 560的Security Events, 剩下的部份就不用我再多說, 您應該知道該如何做了.

     

    P.S. Event ID 560必須再篩選過, 否則會有其他的events混在一起.

     

     

    ------------------

    Scovan 蘇紘賢

    2007年5月10日 下午 02:46

所有回覆

  • 請參考

    http://forums.microsoft.com/TechNet-CHT/ShowPost.aspx?PostID=1433705&SiteID=23

    文中我有提供VBScript, 只要利用網域群組原則的登出, 並將內容稍為修改即可列舉登出的次數, 提供您作參考.

     

     

    -------------------

    Scovan 蘇紘賢

    2007年5月8日 下午 03:46
  • 感謝你的答覆!採用你所建議的方式,可以取得登出的紀錄並計算次數,但針對session timeout強制登出次數仍舊沒辦法計算出來。

     

    我目前想到是:

    1.監看winexit.src是否執行,若有執行該程式並強制登出,回傳資料到server,但作法還沒想到。

     

    2.不要用winexit.src,由登入\登出事件,來決定未登出事件次數,但這樣沒辦法真的判定session timeout事件,因為下一個使用者一定會登出使用者,再去使用電腦,或是直接使用電腦,最後一定會登出。==>不可行。

    2007年5月9日 上午 09:58
  • 提供您一個方向: (若您希望可以從事件檢視器Security Log計算次數的話)

    1. 將winexit.src置於欲監控Security Log的主機上. 例如在DC上的某一個共用資料夾.
    2. 從共用資料夾中把winexit.scr產生一個Shortcut, 置於每一台Clients的%systemroot%\system32下.
    3. 設定好Clients的螢幕保護 (winexit.scr).
    4. 在DC上建立"物件"稽核原則, 目標當然就是共用資料夾中的winexit.scr, 而稽核對象選擇Authenticated Users即可.

    只要Clients一旦進入session timeout倒數, 立即就在DC產生Event ID 560的Security Events, 剩下的部份就不用我再多說, 您應該知道該如何做了.

     

    P.S. Event ID 560必須再篩選過, 否則會有其他的events混在一起.

     

     

    ------------------

    Scovan 蘇紘賢

    2007年5月10日 下午 02:46
  • 先感謝您的答覆,我想我大概有點明白您講的方式,只是還沒試出來。

     

    我另外試一個方法是,把使用者可以找到的登出地方全部隱藏,自己寫一個登出程式,然後產生另一個事件,可以跟winexit.src區分,但似乎是想法太天真了~"~實用性似乎不高。

    2007年5月11日 上午 09:30
  • 試驗了這個方法之後,在第二步驟 [從共用資料夾中把winexit.scr產生一個Shortcut, 置於每一台Clients的%systemroot%\system32下] 碰到問題,產生shortcut設定winexit.src之後,在螢幕保護模式的設定沒看到自己所設定好的部份,不會去呼叫winexit.src執行,也就是不會倒數。

     

    還是我誤會shortcut的意思,所以連結不到檔案嗎?  shortcut是只建立捷徑的意思嗎?

     

    感謝各位的指教。

    2007年5月18日 上午 10:28
  • shortcut是建立捷徑沒錯, 就像在檔案總管中, 把檔案的捷徑置於桌面上.

    這個例子只是把從遠端電腦共用資料夾中的檔案, 建立捷徑置於每一台Clients的%systemroot%\system32下

     

     

    以上供您參考

     

     


    Scovan 蘇紘賢

    2007年5月18日 下午 03:27
  • 感謝您的意見,看來比較有可能是我設定的問題,我再試試看,感謝!
    2007年5月18日 下午 03:59