本文說明如何追蹤使用者登入/註銷。
適用於: Windows Server 2003
原始 KB 編號: 556015
這篇文章是由 尤瓦爾·西奈撰寫的,Microsoft MVP。
摘要
下列文章將協助您追蹤使用者登入/註銷。
提示
選項 1
使用群組策略在網域層級上啟用稽核:
計算機設定/Windows 設定/安全性設定/本機原則/審核策略
有兩種類型的稽核可處理登入,它們是 稽核登入事件 和 稽核帳戶登入事件。
稽核「登入事件」會記錄原則目標電腦上的登入,結果會出現在該計算機的安全性記錄檔中。
稽核「帳戶登入」事件會追蹤登入網域,且結果只會出現在域控制器的安全性記錄檔中。
使用下列內容,在必要的網域/OU/使用者帳戶上建立登入腳本:
echo %date%,%time%,%computername%,%username%,%sessionname%,%logonserver% >>使用下列內容,在必要的網域/OU/使用者帳戶上建立註銷腳本:
echo %date%,%time%,%computername%,%username%,%sessionname%,%logonserver% >>
注意
請注意,未經授權的使用者可以變更此文稿,因為使用者必須能夠寫入 SHARENAME$ 。
選項 2
使用 WMI/ADSI 查詢每個域控制器的登入/註銷事件。
Community 解決方案內容免責聲明
Microsoft 公司和/或其各自的供應商不代表此資訊和其所含相關圖形的適用性、可靠性或精確度。 所有這類資訊和相關圖形都會以「原狀」提供,而不需要任何種類的擔保。 Microsoft 和/或其各自的供應商在這裡免責與此資訊和相關圖形相關的所有瑕疵擔保和條件,包括所有隱含的瑕疵擔保和適售性條件、適合特定用途、工作方式、職稱和非侵權。 您特別同意,在任何情況下,Microsoft 和/或其供應商都不應該對任何直接、間接、懲罰性、附帶性、特殊、衍生性損害或任何損害負責,包括,不限於使用損失、資料或獲利、因使用或無法使用此處所包含的資訊和相關圖形而產生的損害, 不論是根據合約、侵權、過失、嚴格責任,還是如此,即使 Microsoft 或其任何供應商都已獲得損害的可能性。