如果有人能帮忙,我将不胜感激。我正在尝试审核网络。我有域中过去 3 个月内处于活动状态的计算机列表。我有一个小脚本,当用户登录计算机时运行该脚本,并将计算机名称写入文件。我有 39 台计算机,但只有 23 台计算机运行了该脚本。所以我正在追踪其他 16 台计算机。我的问题是如何找出谁最后登录了给定的计算机名称?
提前谢谢了
答案1
查看这些机器上的安全事件日志。那里将审核所有登录事件。
您可以过滤事件 528 的日志。您在这些事件中查找的登录类型是2,即交互式登录。
答案2
MDMarra 所指的注册表项应为 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI(假设高于 XP)。查看 LastLoggedOnUser。
答案3
创建一个登录脚本,记录网络共享上每台机器的用户名和日期。例如,将 %username% 和 %date% 信息附加到文件 %computername%.txt 中,这样每当您对谁登录了计算机有疑问时,它就应该按时间顺序显示在文件中。