Cómo determinar desde qué equipo de un usuario ha iniciado sesión

Seleccione idioma Seleccione idioma
Id. de artículo: 175062 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

En esta página

Resumen

En este artículo describe los métodos disponibles para identificar qué sistema de un usuario ha iniciado sesión en. Puede elegir de una o más de los métodos siguientes:

  • Auditoría de Windows

    -o bien -
  • Microsoft Network Monitor (o otra utilidad de seguimiento de red)

    -o bien -
  • Utilizando la base de datos servicio de nombres Internet de Windows (WINS)

    -o bien -
  • Mediante la tabla caché remota de nombres de NetBIOS

Más información

Auditoría de Windows

Para determinar desde qué sistema de un usuario conectado con auditoría de Windows, siga los pasos siguientes:

  1. Inicie Administrador de usuarios para dominios.
  2. Haga clic en auditar en el menú directivas.
  3. Haga clic en Habilitar correcto para la categoría de inicio y cierre de sesión. Opcionalmente, también puede seleccionar la casilla de verificación error.
Después de haber implementado el procedimiento anterior, Windows creará un registro de eventos para cada registro correcta en el intento. El registro aparecerá como en el ejemplo siguiente:

   Date:     10/13/97  Event ID:  528
   Time:     10:32:11 AM  Source:  Security
   User:     JoeSmith  Type:  Success Audit
   Computer: MKTINGDOM  Category: Logon/Logoff

   Description:
   Logon/Logoff: Successful
   Logon User Name: JoeSmith
   Domain: MKTINGDOM
   Logon ID: (0x0, 0x2D0D0)
   Logon Type: 3
   Logon Process: User32 Authentication Pkg:
      MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
   Workstation Name: \\WKS2
				

Monitor de red

Para determinar desde qué sistema de un usuario ha iniciado sesión con el Monitor de red, siga los pasos siguientes:
  1. Capturar todo el tráfico entrante a los controladores de dominio. Para reducir el tamaño de los datos capturados:

    • Si es posible, incluir sólo el principal o el controlador de reserva que es más probable que validar el intruso.
    • Establecer un filtro captura, incluyendo sólo el protocolo de bloque (SMB) de mensajes del servidor.
    • Configurar un búfer de memoria lo suficientemente grande como la configuración de búfer de opción en el menú captura.
  2. Después de que se ha capturado los datos, establecer un filtro de presentación para incluir sólo:

    Protocolo: SMB
    Propiedad: Nombre de cuenta
    Relación: existe
Esto mostrará todo el SMB sesión configuración inicial que contiene el nombre de usuario y dirección de control de acceso a los medios de origen.

Por ejemplo:
Src Mac Addr: Dst Mac Addr: Description
WKS1          SUNKING       C session setup & X, Username = MariaH, and C
tree connect & X, Share = \\SUNKING\IPC$
WKS2          SUNKING       C session setup & X, Username = JoeSmith, and C
tree connect & X, Share = \\SUNKING\IPC$
WKS3          SUNKING       C session setup & X, Username = Administrator,
and C tree connect & X, Share = \\SUNKING\IPC$

En el ejemplo anterior, WKS1 es el equipo donde el usuario está iniciando sesión en desde, SUNKING es el controlador de dominio autenticar la solicitud y la descripción contiene la cuenta de dominio de Windows NT utilizada.

Nota: La dirección MAC de origen también puede sido se muestra como un medio de control de acceso o dirección IP si no se pudo resolver el nombre NetBIOS o la entrada no está en la base de datos dirección de Monitor de red.

Uso de la base de datos WINS

Para determinar desde qué sistema de un usuario ha iniciado sesión utilizando la base de datos de WINS, siga los pasos siguientes:

  1. Inicie el Administrador de WINS.
  2. Haga clic en Mostrar base de datos en el menú asignaciones.
  3. Haga clic en Establecer filtro, escriba el nombre de la cuenta de usuario en el equipo nombre criterios y, a continuación, haga clic en Aceptar.
  4. En la lista de asignaciones, la entrada con el nombre de la cuenta de usuario y el identificador de 03 h asigna a la dirección IP de la estación de trabajo desde el que el usuario iniciado sesión en el dominio.

Mediante la tabla de nombres remota de NetBIOS

Para determinar desde qué sistema de un usuario sesión mediante la tabla de nombres NetBIOS remoto, siga los pasos siguientes:

  1. Desde un símbolo del sistema de MS-DOS, escriba lo siguiente y presione ENTRAR.

    net send < nombre de usuario > de "mensaje de texto"

    donde < nombre de usuario > es la cuenta de usuario para el usuario que está intentando buscar.
  2. Escriba lo siguiente y, a continuación, presione ENTRAR.

    nbtstat - c
  3. Como en el ejemplo anterior con la base de datos WINS, busque el nombre de usuario que está asociado con el identificador de 03 h y la dirección IP correspondiente dirección es la de la estación de trabajo.
Para obtener más información, consulte los siguientes artículos de Microsoft Knowledge Base:

ARTICLE-ID: 157238
TITLE: Cómo activar el registro en Windows NT 4.0 de sucesos de seguridad

ARTICLE-ID: 173939
TITLE: Cómo identificar el usuario que ha cambiado la contraseña de administrador

ARTICLE-ID: 140714
TITLE: Distintivas registros de sucesos de auditoría de Windows

Propiedades

Id. de artículo: 175062 - Última revisión: martes, 31 de octubre de 2006 - Versión: 1.1
La información de este artículo se refiere a:
  • Microsoft Windows NT Workstation 3.51
  • Microsoft Windows NT Workstation 4.0 Developer Edition
  • Microsoft Windows NT Server 3.51
  • Microsoft Windows NT Server 4.0 Standard Edition
Palabras clave: 
kbmt KB175062 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 175062

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com