我们有几台 win xp 机器连接到 win2k 域控制器。如何生成报告或查看这些机器的登录和注销时间
答案1
如果您对 DC 登录事件有正确的审核设置,则应该记录在安全日志中。
或者您可以通过组策略将批处理文件应用于您想要监控的机器。显然,这只会记录应用时的时间……
就像是:
登录
echo %logonserver% %username% %computername% %date% %time% >> \file1\logins$\logon.txt
登出
echo %logonserver% %username% %computername% %date% %time% >> \server\logoff$\logout.txt
根据需要进行编辑。
答案2
我相信旧Cmp将生成登录时间报告。无论如何,JoeWare 工具非常方便,特别是对于 2008 年之前的域名。
答案3
这取决于您要查找的内容。我假设您尝试从客户端计算机获取交互式登录(即坐在计算机前的用户、使用 RDP 的用户等)的时间/日期列表。
为此,您必须通过监视客户端计算机来执行此操作。对于 Windows Server 计算机和远程连接而言,“登录”和“注销”与 TELNET 或 SSH 会话不同。当用户以交互方式登录到客户端计算机时,不会打开与可监视的服务器计算机的某些持久连接(如 TELNET 或 SSH 会话)。当用户以交互方式登录客户端计算机时,您将在服务器计算机上看到登录事件,但由于空闲超时,在用户实际注销客户端计算机上的交互式会话之前,您很可能会在给定客户端的服务器计算机上看到注销事件。
假设您正在审核客户端计算机上的“登录”事件,您可以事后解析其事件日志,或者执行一些操作,例如创建事件日志接收器以监视每台客户端计算机上的交互式登录和注销事件并将它们报告回中央数据库。
最终,监控客户端计算机事件日志中的交互式登录时间应该相当可靠。您必须警惕可能终止用户会话的崩溃和重启,因此需要一些特殊情况的代码来防范意外重启(并且需要打开记录意外关机的功能……我认为默认情况下它仅在 Windows Server 版本中启用)。
答案4
也许有像 Linux 中的“last”这样的东西。