我正在开发一个应用程序来跟踪 Active Directory 域中的网络用户登录/注销事件;该应用程序将通过审核域控制器上的安全日志来工作。
审计登录事件可能有些棘手,但可以成功完成。
我的问题:如何追踪注销活动?
根据我所做的一些研究,这些事件似乎仅在工作站本地记录,而不是在 DC 上记录;此外,“lastLogoff”属性存在于 AD 用户对象上,但实际上并未被任何人使用。
这是一个非常具体的问题:是否有登录树突状细胞当用户从域工作站注销时?
澄清一下:我对其他审计方法不感兴趣,我无法部署登录/注销脚本,也无法在任何地方安装任何东西;我也知道打开和关闭的网络会话会被记录下来,但这不是我想要的。我需要审计域工作站的交互式登录和注销,我可以通过只读取域控制器安全日志来做到这一点;读取每个工作站的本地事件日志是不可能的。
如果做不到的话,也没关系;但我需要一个明确的答案。
- 这能做到吗?
- 如果是,怎么办?
答案1
您说得对,它们没有记录在您的 DC 上。但是,我相信(但不确定)如果您对 DC 的审核足够高,则当有人断开网络驱动器时会记录事件。因此,如果您正在为用户映射驱动器,您可能会跟踪他们的注销,但寻找那个“卸载”事件。即便如此,我也不确定我是否愿意依赖它。您说您无法部署脚本,但我只是提到这一点,以防万一您已经处于您的环境中。
答案2
看来这根本做不到。
除了关闭的网络会话外,当用户注销时,DC 上不会记录任何内容(但它们可以随时关闭,而不仅仅是在注销时)。