本文介绍如何跟踪用户登录/注销。
适用于: Windows Server 2003
原始 KB 数: 556015
本文由 Microsoft MVP 尤瓦尔·西奈撰写。
总结
以下文章将帮助你跟踪用户登录/注销。
提示
选项 1
使用组策略在域级别启用审核:
计算机配置/Windows 设置/安全设置/本地策略/审核策略
有两种类型的审核可以解决登录问题,它们是 审核登录事件 和 审核帐户登录事件。
审核“登录事件”记录策略针对的电脑上的登录,结果将显示在该电脑的安全日志中。
审核“帐户登录”事件跟踪登录到域,结果仅显示在域控制器上的安全日志中。
使用以下内容在所需的域/OU/用户帐户上创建登录脚本:
echo %date%,%time%,%computername%,%username%,%sessionname%,%logonserver% >>使用以下内容在所需的域/OU/用户帐户上创建注销脚本:
echo %date%,%time%,%computername%,%username%,%sessionname%,%logonserver% >>
注意
请注意,未经授权的用户可以更改此脚本,因为用户要求 SHARENAME$ 可写入。
方法 2
使用 WMI/ADSI 查询每个域控制器以查找登录/注销事件。
社区解决方案内容声明
Microsoft 公司和/或其供应商不对在这里所发布的信息和图片的适用性、可靠性或准确性负责。 所有此类信息和相关图形均按“原样”提供,不作任何形式的保证。 Microsoft 和/或其相应的供应商特此声明,不对本信息和相关图形提供任何保证和条件,包括所有暗示的保证和适销性条件、特定用途的适用性、工作人员的工作、所有权和非侵权。 你明确同意,在任何情况下,Microsoft 和/或其供应商都不对任何直接、间接、惩罚性、附带、特殊、后果性损害或任何损害负责,包括但不限于因以下原因或以任何方式造成的使用、数据或利润损失的损害负责:即使微软或其任何供应商已被告知有可能受到损害,但由于使用或无法使用本文所含信息和相关图形,无论是基于合同、侵权、疏忽、严格责任还是其他原因。