有没有办法获取 Windows 7 计算机上的登录日期和时间(本地和远程)
我读过这个文章,但在事件查看器中我看不到任何登录(所有事件都是其他类型)
我们相信,有恶意操作员在公司的一些计算机上执行夜间程序,但我们需要一些证据来证明他确实这么做了。
此人有权访问活动目录(他知道许多密码),以进行维护,但我们认为这是组织中某些成员的恶意行为
答案1
要启用帐户审计设置:
- 点击Start
- 类型
secpol.msc - 右键单击
secpol.msc程序选项并选择Run as Administrator - 导航
Local Policy > Audit Policy - 右键单击
Audit account logon events策略选项 - 选择
Properties。 - 选中
Success和Failure复选框。
然后事件日志将包含登录和注销记录。但是,您需要确保一般用户无法清除您的事件日志或更改审核策略设置,否则您的记录可能不可靠。