none
server2012域控,ad用户登录域日志问题 RRS feed

  • 问题

  • ad用户使用域账户登录域内计算机的日志,如何在域控日志中能看到用户登录的计算机名?
    2019年11月5日 1:22

答案

全部回复

  • 你好,

    就我所知,在域环境下,要查看哪些用户已经登录在域中,用哪台电脑登录的,一般是启用登录事件审核,然后再去安全日志中去查找。

    通过使用组策略在域级别启用审计:

    计算机配置/Windows设置/安全设置/本地策略/审计策略

    有两种类型的审计处理登录,它们是审计登录事件和审计帐户登录事件。

    审计登录事件记录策略所针对的PC上的登录,结果显示在该PC上的安全日志中。

    审计帐户登录事件跟踪到域的登录,结果仅出现在域控制器上的安全日志中

    同时我搜索到下方这个工具下载进行安装,也可以找到用户是在哪登录

    Psloggedon 

    http://technet.microsoft.com/en-us/sysinternals/bb897545.aspx

    希望对您有帮助,如果回答是有帮助的, 请将其标记为答案, 可以帮助其他有相同问题的社区成员, 并快速找到有用的答复。


    针对Windows 2008/2008R2的扩展支持将于2020年结束,之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》,把握良机完成云迁移并实现业务现代化。


    2019年11月7日 9:26
  • 审计帐户登录事件跟踪到域的登录,结果仅出现在域控制器上的安全日志中

    该方法无法看到域账户登录的计算机名字,工作站仅显示 localhost,有什么 办法可以解决吗

    2019年11月8日 2:45
  • 你好,

    感谢您提供的信息。

    我又进行了一下测试。通常我们提升DC后会默认开启三个audio策略。

    先用下方命令看一下audit的情况,看的是log on 和log off是否开启

    auditpol /get /category:*

    Logon/Logoff
      Logon                                   Success and Failure

    开启的话,登录的时候看event 4624,能够看到Workstation Name,我这边登录的机器是VM。账户是tiger。

    希望对您有帮助,如果回答是有帮助的, 请将其标记为答案, 可以帮助其他有相同问题的社区成员, 并快速找到有用的答复。


    针对Windows 2008/2008R2的扩展支持将于2020年结束,之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》,把握良机完成云迁移并实现业务现代化。


    2019年11月12日 3:01
  • 你好,

    security日志,id为4624的登录记录

    登录类型:   3

    请问一下,这个登录类型有几种?分别是哪些?

    2019年11月15日 8:11
  • 你好,

    感谢您的回复。对于id4624的登录类型可以查看下方链接的信息。

    希望对您有帮助,如果回答是有帮助的, 请将其标记为答案, 可以帮助其他有相同问题的社区成员, 并快速找到有用的答复。


    针对Windows 2008/2008R2的扩展支持将于2020年结束,之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》,把握良机完成云迁移并实现业务现代化。


    2019年11月19日 6:07