7 votos

¿Cómo saber cuando un usuario de dominio iniciar sesión?

En el registro de sucesos de «Seguridad» en un controlador de dominio Windows 2003, veo varias entradas de evento 540--"Exitosa red inicio de sesión" con un promedio de unos pocos minutos aparte durante todo el día.

¿Es el primero de estos para un usuario particular en un día particular necesariamente el momento en que el usuario ha iniciado sesión su máquina?

¿Si no (o incluso si es así) hay otra manera (mejor?) a que hora el usuario logeado en la mañana?

4voto

Evan Anderson Puntos 118832

Si usted está buscando para el inicio de sesión interactivo en un equipo cliente, el evento mucho en ese equipo cliente es donde usted debe estar buscando. Un usuario que inicie sesión con, por ejemplo, las credenciales almacenadas en caché, no vayan a crear entradas en el registro de sucesos de un controlador de dominio. Incluso si usted no está buscando para los inicios de sesión con credenciales almacenadas en caché, la configuración de los equipos cliente para auditar sucesos de inicio de sesión y buscar en el cliente de registro de sucesos del equipo que va a dar el mejor y más precisa, y fácil de encontrar la información.

4voto

Brent D Puntos 125

Si conoces el usuario actualmente ha iniciado sesión en la máquina, trate de psloggedon de Sysinternals Suite.

3voto

sysadmin1138 Puntos 86362

Hay un atributo en el objeto de usuario AD llamado último inicio de sesión de Timestamp. Se actualiza cada vez que un usuario inicia sesión, pero no es replicado más de 14 días ya que está previsto para ser utilizado para buscar cuentas de muertos. Puede utilizarse como un contador más preciso si estás dispuesto a sondear cada DC del dominio para obtener esta información. De puede construir una pista de cuándo los usuarios se autentican el dominio cada vez que sucede, no sólo por la mañana.

2voto

Shaun Hess Puntos 496

Tomando la primera pregunta de su título de "Cómo saber lo que el tiempo de un usuario de dominio registrados en" lo que depende de la plataforma el usuario está iniciando sesión en. Para Windows 2000/XP/2003 id de evento 528 con el tipo de inicio de sesión 2 muestra los inicios de sesión interactivos desde una cuenta local o de dominio. LogParser es una gran herramienta para analizar los registros de sucesos de un gran número de máquinas y soporta un gran número de salidas. Así por ejemplo se podría utilizar la siguiente consulta el registro de seguridad en una máquina remota y salida a una pestaña separada de archivo:

c:>logparser.exe "select TimeGenerated, SID from \\wksname\Security where EventID = 528" -i EVT -resolveSIDs:ON -q:ON -headers:off -o:TSV >> c:\UserLogons.txt

Consulta los eventos de los registros de Seguridad en Windows Vista/2008/7 es ligeramente diferente en el que el formato de archivo de registro ha cambiado, así como los identificadores de evento. Evento id 4624 con el tipo de inicio de sesión 2 se muestran exitosos inicios de sesión interactivos. Podemos utilizar el wevtutil para consulta de datos similares y de salida en formato XML:

c:>wevtutil qe Security /q:"*[System[Provider[@Name='Microsoft-Windows-Security-Auditing'] and Task=12544 and (EventID=4624)] and EventData[Data[@Name='LogonType']='2']]" /e:Events > c:\UserLogons.xml

Como para ver id de evento 540 aparecen en sus registros de eventos de Seguridad de controlador de dominio:

Evento 540 obtiene registra para un par de razones diferentes. Así, por ejemplo, se podía ver id de evento 540 con el tipo de inicio de sesión 3 cuando un recurso se accede por el servicio de servidor. Aquí están los tipos de inicio de sesión para este evento id proporcionado por Microsoft:

2 Interactivos que Un usuario ha iniciado sesión en este equipo en la consola.

3 de la Red de Un usuario o equipo conectado a este equipo desde la red.

4 Lote Lote tipo de inicio de sesión se utiliza por lotes de servidores, donde los procesos pueden ejecutarse en nombre de un usuario, sin que el usuario de la intervención directa.

5 Servicio servicio fue iniciado por el Administrador de Control de Servicios.

7 Desbloquear Esta estación de trabajo se desbloquea.

8 NetworkCleartext de Un usuario conectado a una red. La contraseña del usuario se pasa el paquete de autenticación en su unhashed forma. El built-en la autenticación de los paquetes de todos los hash credenciales antes de enviarlos a través de la red. Las credenciales no atraviesan la red en texto plano (también llamado como texto sin cifrar).

9 NewCredentials Una llamada clonado su actual token y especificado nuevas credenciales para las conexiones salientes. El nuevo inicio de sesión tiene la misma identidad local, pero utiliza diferentes credenciales para otras conexiones de red.

10 RemoteInteractive Un usuario ha iniciado sesión en este equipo de forma remota utilizando Servicios de Terminal server o una conexión de Escritorio Remoto.

11 CachedInteractive Un usuario ha iniciado sesión en este equipo con credenciales de red que se almacena localmente en el equipo. El controlador de dominio no ha sido contactado para verificar las credenciales.

Feliz caza.

2voto

Jacobbus Puntos 60

¿Usted podría, en un script de inicio de sesión, crear una línea que escribe una marca de hora a un archivo en algún lugar?

¿Algo parecido?

net tiempo >> \server\logonlogs\%username%.txt

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: