AD 中的登录时间历史记录？

Question

您可以浏览所有域控制器日志，查找事件 ID 672（Kerberos 身份验证票证已授予）。如果您想绝对确定用户随后成功登录，您可能需要将其与事件 ID 为 673 的后续事件相关联，这表明确实授予了服务票证，而不仅仅是 672 跟踪的票证授予票证。关于这些和相关 EventID 的精彩文章这篇 Technet 文章。

如果您不使用某些第三方机制或现有的脚本，这是我知道的唯一一种可以在域级别跟踪历史 AD 登录的方法。这些事件的内容将包含用户名和登录系统的 IP 地址（这些字段的具体细节在链接的文章中，但当您查看它们时就很明显了）。重要的是要记住，这只有在您拥有足够远的域控制器日志时才有用，如果您有大量的 DC，这可能需要大量工作。无法使用这些事件（或任何其他与 Kerberos 相关的事件）来跟踪注销时间，因为这些时间不是由域控制器介导的。

在工作站级别，您可以深入研究日志，查找事件 ID 528 类型 2 来跟踪本地交互式登录（即使是使用域帐户的登录）和事件 ID 538 类型 2 来跟踪注销事件，这可以让您更好地了解用户登录的实际时间。这些事件的关键问题是，只有当您确切知道用户最初从哪个系统登录时，它们才有用。类型字段至关重要，因为通常会有更多事件 ID 528\538 类型 3 事件，它们表示与网络资源（如文件共享等）的连接\断开连接。您可以在以下位置找到有关这些事件的更多信息此 Microsoft 知识库文章。

对于 Windows 2003 功能级别域，AD 会在所有 DC 上保留“LastLogonTimeStamp”属性的一致副本，但这只会告诉您上次成功登录的时间，而不会让您了解登录的历史记录。

Answer 1

您可以浏览所有域控制器日志，查找事件 ID 672（Kerberos 身份验证票证已授予）。如果您想绝对确定用户随后成功登录，您可能需要将其与事件 ID 为 673 的后续事件相关联，这表明确实授予了服务票证，而不仅仅是 672 跟踪的票证授予票证。关于这些和相关 EventID 的精彩文章这篇 Technet 文章。

如果您不使用某些第三方机制或现有的脚本，这是我知道的唯一一种可以在域级别跟踪历史 AD 登录的方法。这些事件的内容将包含用户名和登录系统的 IP 地址（这些字段的具体细节在链接的文章中，但当您查看它们时就很明显了）。重要的是要记住，这只有在您拥有足够远的域控制器日志时才有用，如果您有大量的 DC，这可能需要大量工作。无法使用这些事件（或任何其他与 Kerberos 相关的事件）来跟踪注销时间，因为这些时间不是由域控制器介导的。

在工作站级别，您可以深入研究日志，查找事件 ID 528 类型 2 来跟踪本地交互式登录（即使是使用域帐户的登录）和事件 ID 538 类型 2 来跟踪注销事件，这可以让您更好地了解用户登录的实际时间。这些事件的关键问题是，只有当您确切知道用户最初从哪个系统登录时，它们才有用。类型字段至关重要，因为通常会有更多事件 ID 528\538 类型 3 事件，它们表示与网络资源（如文件共享等）的连接\断开连接。您可以在以下位置找到有关这些事件的更多信息此 Microsoft 知识库文章。

对于 Windows 2003 功能级别域，AD 会在所有 DC 上保留“LastLogonTimeStamp”属性的一致副本，但这只会告诉您上次成功登录的时间，而不会让您了解登录的历史记录。

AD 中的登录时间历史记录？

答案1

相关内容