我在公司的 IT 部门工作。我部门的两个同事和一些其他域用户关系密切。上周,我被要求在这些域用户的计算机上安装一个新的 IDE。我将安装文件复制到共享文件夹中,然后我们都去吃午饭。当我吃完午饭回来安装时,域用户说安装已经完成了。根据我们的域用户权限政策,域用户不能在他们的计算机上安装程序。我问他是怎么做到的。他回答说他很着急,他让 IT 部门的朋友帮忙。然而,我强烈怀疑他在撒谎,因为我们在午餐时和他的朋友在同一个餐厅,他没有足够的时间进行安装。当我问我的同事时,他也证实了这一点。但我问完问题后他的面部表情和说话方式足以让我明白真相。
我想和我的经理谈谈这个问题,但问题是我没有任何确凿的证据来证明任何事情。
我想问的是,我想知道何时在域用户的计算机上输入了管理员密码。在最新的 Windows 10 Pro 服务器上使用 Active Directory 在哪里。有没有办法在几台特定的计算机上输入管理员密码时收到通知?或者是否有一个日志文件我可以检查是否输入了管理员密码?如果输入了,什么时候发生的?
我在 Google 上搜索了这个问题,但没有找到任何解决方案。希望你能帮助我。
答案1
您可以设置并使用用户组策略来识别用户登录。
要检查 Active Directory 中的用户登录历史记录,请按照以下步骤启用审核:
1 运行 gpmc.msc(组策略管理控制台)。
2 创建新的 GPO。
3 单击“编辑”并导航至“计算机配置”>“策略”>“Windows 设置”>“安全设置”>“高级审核策略配置”>“审核策略”。在“审核策略”下,您将找到登录/注销和帐户登录的具体设置。登录/注销:审核登录>“定义”>“成功和失败”。审核注销>“定义”>“成功”。审核其他登录/注销事件>“定义”>“成功”。帐户登录:审核 Kerberos 身份验证服务>“定义”>“成功和失败”。
4 要将新的 GPO 链接到您的域,请右键单击。选择“链接现有 GPO”,然后选择您创建的 GPO。
这将记录登录信息,但不会通知您。因此,如果您怀疑有人登录,请检查。
或者,制定每周例行审查程序。
注意:服务器审计不具有追溯力。