none
稽核帳戶登入事件與稽核登入事件的差異性 RRS feed

  • 問題

  • Audit Logon/Logoff generates events for the creation and destruction of logon sessions.  These events occur on the machine which was accessed.  In the case of an interactive logon, these would be generated on the machine which was logged on to.  In the case of network logon, for example, accessing a share, these events would be generated on the machine hosting the resource that was accessed.

    Audit Account Logon generates events for credential validation. These events occur on the machine which is authoritative for the credentials.  For domain accounts, the domain controller is authoritative. For local accounts, the local machine is authoritative.  Since domain accounts are used much more frequently in enterprise environments than local accounts, most of the Account Logon events in a domain environment occur on the domain controllers which are authoriative for the domain accounts.  However, these events can occur on any machine, and may occur in conjunction with or on separate machines from logon/logoff events.

    Logging on interactively to a workstation, using a domain account, can cause more activity than you might expect on the DC.  An interactive logon is pretty complex and involves multiple steps. 

    -----------------------------------------------------------------------------------------------------

    上面是我在網路上搜尋到比較看的懂的解釋,但是我不知道所謂的稽核登入事件的紀錄到底在哪裡?我在登入網域後,有在DC上的事件檢視器看到我帳戶登入事件與登入事件紀錄,但是不知道我的觀念對不對,假使我去存取同一網域的其他電腦,在該電腦是否應有登入事件紀錄?但是我在該電腦卻沒有看到該紀錄?Why?

    2006年12月27日 下午 12:59

解答

所有回覆

  • 參考看看:Auditing: The difference between audit account logon event and audit logon event.

    在其他電腦有啟用稽核嗎?一般電腦預設不會稽核。

    2006年12月27日 下午 04:26
  • 帳戶的使用有 本機帳戶 跟 網域帳戶
    因此一個是稽核本機帳戶登入事件,一個是稽核網域帳戶登入事件
    本機帳戶登入事件當然是紀錄在本機的事件檢視器中
    網域帳戶登入事件當然是紀錄在網域控制站的事件檢視器中,至於是哪一台網域控制站?要看到底是哪一台提供帳戶驗證

    2006年12月28日 上午 01:32
  • 稽核本機帳戶登入事件是驗證身份的機制,發生在帳號的所在機器是合理的,所以登入本機該帳戶登入事件是紀錄在本機的事件檢視器中,而登入網域時則帳戶登入事件是紀錄在網域控制站

    而令我納悶的是,稽核登入的事件是否應紀錄在被登入到的機器呢?假如是到成員伺服器去存取資料,因為是server所以稽核登入事件原則是打開的(預設),所以在這種情況下,在網域控制站會紀錄網域帳戶登入事件,而在成員伺服器則有登入事件的紀錄,這都是合理的解釋

    不過若是在同一個網域中的工作站互相存取時,被存取的工作站卻無登入事件的紀錄,假使我的認知沒錯,登入事件應該發生在被存取的電腦上(不論是server或是workstation),所以說類似透過網路芳鄰連到別的電腦存取檔案,在該被存取的電腦是否應有登入事件的紀錄,但是我並沒有發現這種紀錄,難道不是在網域控制站中把稽核本機帳戶登入事件和稽核戶登入事件的原則打開後,該網域中的電腦就應該要紀錄這些事件了嗎?難不成還要把workstation的這2項原則開啟,才會有稽核紀錄,真的是搞不懂耶?

     

    2006年12月28日 上午 02:16
  • 網域中的電腦是網域安全性原則控制的,網域控制站安全性原則只控制DC。
    2006年12月28日 上午 03:20