我们部门正在实施一项新的管理政策:我们支持的部门中的每个人都将获得其计算机的管理员访问权限。我们需要知道(在我们在这个部门执行此“试点计划”政策时)谁在任何机器上登录以及他们何时登录。那么我如何(使用 powershell 脚本、cmd 脚本或其他自动方式)找出谁登录了给定的 Windows 7 或 XP 机器?
答案1
您可以为这些计算机制作一个登录脚本,并将其链接到组策略中,以便将其回显%date% %time% %username% %computername%到某个隐藏共享上的文件。然后,您将拥有所有登录的集中日志。
答案2
监视域控制器上的事件日志事件 672。它将显示 AD 用户的所有成功登录事件以及他们从哪台计算机登录。按计算机进行过滤,以仅获取您感兴趣的计算机的登录事件。
答案3
我认为您可能想要知道域控制器/活动目录何时对用户进行身份验证。可以在以下位置找到一些解释http://www.windowsecurity.com/articles/windows-active-directory-auditing.html
审核登录事件– 这将审核与用户登录、注销或与配置为审核登录事件的计算机建立网络连接相关的每个事件。记录这些事件的一个很好的例子是用户使用域用户帐户以交互方式登录其工作站。这将在工作站上生成事件,但不会在执行身份验证的域控制器上生成事件。实际上,登录事件是在登录尝试发生的地方跟踪的,而不是用户帐户所在的位置。除了配置为审核这些事件成功的 Windows Server 2003 域控制器之外,任何操作系统均未启用此设置。在网络上的所有计算机上记录这些事件是常见且最佳的做法。
在所有机器上启用并与从所有机器提取日志的系统一起使用,我认为这是最可靠的。
答案4
本地帐户还是域?你的意思是他们的主要帐户是管理员,还是他们会获得一个专门用于更改的管理员帐户?如果它位于域的中心,你可以检查域控制器上的安全事件日志和/或本地计算机上的安全事件日志
这是Microsoft 文档安全事件日志条目以及要查找的内容。请注意,如果您检查本地计算机,管理员可能会清除日志。
审计登录是一个很好的 Google 术语,可供阅读更多内容。