Active-Directory
可以跟踪 Windows 註銷事件嗎?
我正在開發一個應用程序來跟踪 Active Directory 域中的網路使用者登錄/註銷事件;該應用程序將通過審核域控制器上的安全日誌來工作。
審核登錄事件可能會有些棘手,但可以成功完成。
我的問題:如何跟踪註銷事件?
根據我所做的一些研究,這些事件似乎只記錄在本地工作站上,而不是記錄在 DC 上;此外,“lastLogoff”屬性存在於 AD 使用者對像上,但實際上並未被任何人使用。
這是一個非常具體的問題:當使用者從域工作站註銷時,是否在DC上登錄了某些東西?
澄清一下:我對其他審計方法不感興趣,我無法部署登錄/註銷腳本,也無法在任何地方安裝任何東西;我也知道記錄了打開和關閉的網路會話,但這不是我想要的。我需要審核域工作站的互動式登錄和註銷,我可以通過僅讀取域控制器安全日誌來做到這一點;閱讀每個工作站的本地事件日誌是沒有問題的。
如果這不能完成,沒關係;但我需要一個明確的答案。
- 這可以做到嗎?
- 如果是,如何?
看來這只是做不到。
當使用者註銷時,除了關閉的網路會話(但它們可以隨時關閉,不僅在註銷時)之外,什麼都不會登錄 DC。
你是對的,他們沒有登錄你的 DC。但是,我相信(但不是肯定的)如果您在 DC 上的審核足夠高,那麼當有人斷開網路驅動器時會記錄一個事件。因此,如果您正在為您的使用者映射驅動器,您可能會跟踪他們的註銷但尋找“解除安裝”事件。即使那樣,我也不確定我是否願意依賴它。你說你不能部署腳本,但我只是提一下,以防你已經在你的環境中。