我监控 Active Directory 服务器上的 EventID 4768 以捕获用户登录。到目前为止一切顺利...我观察到所有将用户设置为 $ 的事件都是计算机。
我的问题是,据我所知,我可以设置像“abc$”这样的用户名。因此,基于“$”进行区分并不是最好的方法。
我还看不出这两个事件之间的任何其他区别,一个来自计算机,一个来自用户登录。
那么,当我捕获登录事件时,如何安全地区分用户和计算机?
答案1
我更幸运地监控了登录/注销事件的不同事件 ID 号。这些是 ID 4624(登录)和 4634(注销),这两个可以通过它们上的 LogonGUID 属性关联。另一对有用的 ID:4625(登录失败)和 4740(帐户锁定)。