我们的承包商会定期远程访问我们的生产服务器,天知道他们可能会做出哪些更改。那么当用户登录或退出服务器时,我可以使用什么来记录?
Windows Server 2003 AD 域
答案1
审核登录事件 因此我四处寻找并发现您可以制定一个组策略(并将其应用于您的生产服务器 OU),该策略可以审核登录事件,换句话说,当人们登录或退出您的服务器时写入事件日志。
为此,请打开组策略管理,然后在“组策略对象文件夹”中创建一个新的组策略对象,为其指定一个描述性名称。Audit_Remote_logons 对我来说似乎足够好了。然后转到“计算机配置 --> 策略 --> Windows 设置 --> 安全 --> 本地策略 --> 审核策略 --> 然后打开审核登录事件,然后启用“成功”和“失败”
现在将 GPO 链接到您想要启用此功能的 OU。
可选地,在生产服务器上运行“GPUdate /force”。应用此策略后,您可以进入安全事件日志并查看成功的登录/注销事件。