对于有很大权限的账户,比如域管理员账户我们希望能够实时监控他的登录情况。如果账户被他人盗取,我们在第一时间就判断是正常使用还是他人盗取后使用的。
这里介绍一种不借助第三方工具就能简单实现的邮件监控账户登录的方法。
首先,打开安全日志,找到用户登录的日志。在Windows 2012 R2中记录的日志是4626。其中记录了用户名,登录的客户端。
接下去就要新建计划任务了。
在触发器这里选择发生事件时,并选择自定义然后新建事件筛选器。然后再XML选项卡中勾选,手动编辑查询。然后贴入以下代码: