我正在完成审计,需要了解以下信息。我有一个带活动目录的域控制器,但如果您需要更多信息,请告诉我。我想要尽可能简单的东西。我们有大约 230 台电脑,所以要花很长时间才能一一解决它们。欢迎提出任何建议!谢谢。
Username Computer_Name Last_logon
Fred 02457 12/06/2011
答案1
您需要在 DC 上启用审计日志记录。如果您现在没有启用审计,则在启用它之前,您将无法收集此信息。最简单的方法是通过组策略。打开组策略管理控制台,右键单击链接到域控制器容器的“默认域控制器策略”,然后选择“编辑...”。深入到“计算机>Windows>安全设置>本地策略>审计策略”。您需要启用“审计帐户登录”并审计“成功”尝试、“失败”尝试或两者。
您还没有提到您的 DC 运行的是什么操作系统。如果是 2008/2008 R2,您还有一些额外的审计选项。
当用户登录域 PC 时,上述设置将在您的 DC 上的安全事件日志中生成事件。即使设置了审核,您仍然需要查看事件日志来收集信息。