是否可以检查 Active Directory 登录？

Question 1

您可以通过组策略启用审核，有选项可以审核成功和不成功的登录。请记住，如果您有多个 DC，则登录可以由其中任何一个处理，因此用户今天可能登录 DC 1，明天登录 DC 2。此外，服务、应用程序和其他东西都会产生登录审核，因此它确实会变得有点混乱。

您可以在事件查看器（2008 中的 Windows 日志节点）下的安全日志中找到审核。

Answer

您可以通过组策略启用审核，有选项可以审核成功和不成功的登录。请记住，如果您有多个 DC，则登录可以由其中任何一个处理，因此用户今天可能登录 DC 1，明天登录 DC 2。此外，服务、应用程序和其他东西都会产生登录审核，因此它确实会变得有点混乱。

您可以在事件查看器（2008 中的 Windows 日志节点）下的安全日志中找到审核。

Question 2

如果您启用了将登录事件记录到安全事件日志的功能，则可以解析事件日志以查找登录尝试。一个有用的工具是Sysinternals PSLoglist.exe。，并且您应该查询域控制器和文件服务器的活动。

有几种不同的 5xx 和 6xx 事件 ID 可供您查找。您可以按如下方式设置命令行：

psloglist.exe \\domain_controller -d 1 -i 680<add more here> -s security

您还可以使用经过过滤的 dsquery.exe 查询来查找用户属性，例如上次登录时间。

Answer

如果您启用了将登录事件记录到安全事件日志的功能，则可以解析事件日志以查找登录尝试。一个有用的工具是Sysinternals PSLoglist.exe。，并且您应该查询域控制器和文件服务器的活动。

有几种不同的 5xx 和 6xx 事件 ID 可供您查找。您可以按如下方式设置命令行：

psloglist.exe \\domain_controller -d 1 -i 680<add more here> -s security

您还可以使用经过过滤的 dsquery.exe 查询来查找用户属性，例如上次登录时间。

Question 3

上面的帖子是正确的。站点中的 DC 将具有代表其已服务的登录的事件日志条目。由于该帖子提到的原因，这可能会产生误导……以及其他一些原因，例如 Kerberos 票证续订。要真正获得良好的画面，您还需要来自工作站的安全日志。这可能有点麻烦。如果它们是 XP，那么我会在空闲时间将其批处理并加载到您的中央日志主机。如果它们是 Vista 或更高版本，您可以配置事件转发。这有一些先决条件，但它可能是最好的选择。

Answer

上面的帖子是正确的。站点中的 DC 将具有代表其已服务的登录的事件日志条目。由于该帖子提到的原因，这可能会产生误导……以及其他一些原因，例如 Kerberos 票证续订。要真正获得良好的画面，您还需要来自工作站的安全日志。这可能有点麻烦。如果它们是 XP，那么我会在空闲时间将其批处理并加载到您的中央日志主机。如果它们是 Vista 或更高版本，您可以配置事件转发。这有一些先决条件，但它可能是最好的选择。

是否可以检查 Active Directory 登录？

答案1

答案2

答案3

相关内容