有没有办法在登录 win2003 或 win2008(r1 或 r2)服务器时记录远程用户名。
应用程序必须在控制台窗口中运行,而不是作为服务运行,因此用户必须保持登录状态才能使用它,并且操作团队的各个成员能够以该用户身份登录以排除故障/诊断任何问题。我们希望能够审核谁登录了系统并对系统执行了哪些更改,但是 Windows 仅记录服务帐户登录,而不是远程用户。
我知道像 RADMIN 这样的服务会记录远程用户名,但它有自己的问题,例如只能登录控制台会话。
答案1
您能做的事情不多,大部分工作都很繁琐。TS 将在登录后保留有关客户端计算机名称的信息 - 此信息将保存到 CLIENTNAME 环境变量中。您可以将此信息与时间戳一起使用来
a) 查询域控制器的安全日志,直到找出在特定时间段内谁登录了此客户端(这将涉及解析大量日志)或
b) 执行帕斯洛格登或者使用相同方法从 TS 返回 %CLIENTNAME% 计算机,立即了解交互式登录中的用户名
后者显然需要与客户端建立有效的 RPC 连接/进行远程注册表访问,并且两者都需要特权操作,您可能需要使用管理权限来触发该操作。
答案2
您可以使用登录和注销脚本(可以是本地脚本,而不是域脚本)来记录登录者和登录时间,以及如果是 RDP 会话,则记录登录者和登录地点。至于登录时的操作,这并非易事,需要编程解决方案,这超出了 SF 的范围。