Storia dei tempi di accesso in AD?

Siamo interessati a scoprire quando un utente particolare è connesso al nostro dominio. C'è un modo per rintracciare questo? Mi rendo conto che possiamo scrivere uno script da questo punto ma, come è appena giunto alla luce, è ansible storicamente? Il visualizzatore events sulla macchina locale non sembra contenere le informazioni.

Grazie

  • Quale server web deve utilizzare per ospitare applicazioni RoR in Windows?
  • Utili script amministrativi WMI
  • Come configurare il server DNS nel controller di dominio
  • Quale dovrebbe essere l'ordine dei server DNS per un controller di dominio AD e perché?
  • Eseguire il backup di un database di notte
  • Remotely Image un server Windows
  • One Solution collect form web for “Storia dei tempi di accesso in AD?”

    Puoi eseguire una trawl attraverso tutti i registri del controller di dominio in cerca di EventID 672 (certificato Kerberos Ticket Granted). Se vuoi essere assolutamente sicuro che l'utente è stato successivamente connesso con successo, potresti voler correlare questo con un evento successivo con EventID 673 che indica che c'era un biglietto di servizio effettivo concesso, non solo il biglietto che concede 672 brani. C'è una buona scrittura su questi e relativi ID EventID in questo articolo Technet .

    Si tratta dell'unico modo che conosco di ciò che ti consente di tenere traccia degli inserimenti storici AD dopo il fatto a livello di dominio se non utilizzi un meccanismo di terze parti o uno script già esistente. Il contenuto di questi events conterrà il nome utente e l'indirizzo IP del sistema di origine di accesso (i dettagli specifici di tali campi sono nell'articolo collegato ma sono evidenti quando si esamina). È importnte ricordare che questo sarà utile solo se si dispone di registri del controller di dominio che tornano abbastanza a lungo e può essere molto lavoro se si dispone di un gran numero di DC. Non è ansible utilizzare questi events (o altri events correlati da Kerberos) per monitorare i tempi di scadenza poiché quelli non sono mediati dai controller di dominio.

    Al livello di workstation è ansible scavare i registri che cercano l'ID evento 528 Type 2 per tenere traccia degli accessi interattivi locali (anche quelli che utilizzano account di dominio) e EventID 538 type 2 per tenere traccia degli events di disconnessione che possono darti un'idea migliore dei tempi effettivi l'utente trascorso ha eseguito l'accesso. Il problema principale con questi è che sono utili solo se sapete esattamente quali sisthemes l'utente ha eseguito l'accesso da prima. Il field Tipo è fondamentale poiché in genere vi saranno molti events EventID 528 \ 538 di tipo 3 che indicano la connessione / disconnessione dalle risorse di networking, ad esempio le condivisioni di file ecc. Ulteriori informazioni su questi events si trovano in questo articolo di Microsoft KB .

    Per i domini a livello di funzionalità di Windows 2003, l'AD mantiene una copia consistente dell'attributo "LastLogonTimeStamp" replicata in tutti i DC, ma che ti dirà solo l'ultimo log di successo in tempo e non ti darà idea della storia degli accessi.

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.