我正在尝试追踪在特定时间登录服务器的用户,但事件日志已被删除,无法查看我需要的时间段。我能否获取在特定时间登录域的所有用户的列表?
答案1
默认情况下不会。(默认情况下您只会看到登录失败)您需要在默认域策略中激活成功审核。这反过来会产生大量日志。
•在 DC 中,转到组策略管理编辑器 > 默认域策略 > 计算机配置 > 策略 > Windows 设置 > 安全设置 > 本地策略 > 审核策略
•将审核帐户登录事件、目录服务访问、登录事件设置为“成功、失败”。
我正在尝试追踪在特定时间登录服务器的用户,但事件日志已被删除,无法查看我需要的时间段。我能否获取在特定时间登录域的所有用户的列表?
默认情况下不会。(默认情况下您只会看到登录失败)您需要在默认域策略中激活成功审核。这反过来会产生大量日志。
•在 DC 中,转到组策略管理编辑器 > 默认域策略 > 计算机配置 > 策略 > Windows 设置 > 安全设置 > 本地策略 > 审核策略
•将审核帐户登录事件、目录服务访问、登录事件设置为“成功、失败”。