如何跟踪用户登录/注销
12/07/2020
本文内容
本文介绍如何跟踪用户登录/注销。
适用于: WindowsServer 2003
原始 KB 编号: 556015
本文由 Microsoft MVP Yuval Sinay编写。
摘要
以下文章将帮助您跟踪用户登录/注销。
提示
选项 1
使用组策略在域级别启用审核:
计算机配置/Windows 设置/设置/本地策略/审核策略
有两种类型的审核可解决登录问题,即审核 登录事件 和 审核帐户登录事件。
审核"登录事件"记录策略 (电脑) 登录,并且结果将显示在该电脑上的安全日志中 () 。
审核"帐户登录"事件跟踪对域的登录,并且结果只出现在域控制器的安全日志中。
在所需的域/OU/用户帐户上创建具有以下内容的登录脚本:
echo %date%,%time%,%computername%,%username%,%sessionname%,%logonserver% >>
在所需的域/OU/用户帐户上创建注销脚本,并包含以下内容:
echo %date%,%time%,%computername%,%username%,%sessionname%,%logonserver% >>
备注
请注意,未经授权的用户可以更改此脚本,因为要求 SHARENAME$ 由用户编写。
选项 2
使用 WMI/ADSI 查询每个域控制器的登录/注销事件。
社区解决方案内容免责声明
MICROSOFT CORPORATION 和/或其相应的供应商对此处包含的信息和相关图形的适用性、可靠性或准确性不做任何陈述。 所有此类信息和相关图形均按 "原样" 提供,而不提供任何种类的担保。 MICROSOFT 和/或其相应的供应商特此不提供有关此信息和相关图形的所有担保和条件,包括适销性的所有暗示的担保和条件、适用于特定用途的适用性、WORKMANLIKE 工作、标题和非侵权性。 您明确同意,在任何直接、间接、PUNITIVE、偶然、特殊的情况下,MICROSOFT 和/或其供应商不承担任何责任。根据合同、侵权性、疏忽、严格责任或其他方式(无论是根据合同、侵权性、疏忽、严格责任或其他方式,即使 MICROSOFT 或其任何供应商已被告知可能损坏的情况),不限于使用或无法使用本文档中所含信息和相关图形的任何方式(包括但不限于)丢失的或任何损坏。