Comment faire pour déterminer de quel ordinateur à un utilisateur connecté

Traductions disponibles Traductions disponibles
Numéro d'article: 175062 - Voir les produits auxquels s'applique cet article
Agrandir tout | Réduire tout

Sommaire

Résumé

Cet article décrit les méthodes disponibles pour identifier quel système de l'utilisateur connecté. Vous pouvez choisir une ou plusieurs des méthodes suivantes :

  • Audit de Windows NT

    - ou -
  • Moniteur réseau Microsoft (ou autre utilitaire de traçage réseau)

    - ou -
  • À l'aide de la base de données WINS (Windows Internet Naming Service)

    - ou -
  • À l'aide de la table de cache de noms distant NetBIOS

Plus d'informations

Audit de Windows NT

Déterminer à partir du système d'un utilisateur connecté avec audit de Windows NT, procédez comme suit :

  1. Démarrer le Gestionnaire des utilisateurs pour les domaines.
  2. Cliquez sur audit dans le menu stratégies.
  3. Cliquez pour activer des succès pour la catégorie d'ouverture et de fermeture de session. Si vous le souhaitez, vous pouvez également activez-la échec.
Après l'implémentation de la procédure ci-dessus, Windows NT va créer un journal des événements pour chaque journal réussie sur tentative. Le journal s'affichera comme l'exemple ci-dessous :

   Date:     10/13/97  Event ID:  528
   Time:     10:32:11 AM  Source:  Security
   User:     JoeSmith  Type:  Success Audit
   Computer: MKTINGDOM  Category: Logon/Logoff

   Description:
   Logon/Logoff: Successful
   Logon User Name: JoeSmith
   Domain: MKTINGDOM
   Logon ID: (0x0, 0x2D0D0)
   Logon Type: 3
   Logon Process: User32 Authentication Pkg:
      MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
   Workstation Name: \\WKS2
				

Moniteur réseau

Déterminer à partir du système d'un utilisateur connecté avec le Moniteur réseau, effectuez les opérations suivantes :
  1. Capturer tout le trafic entrant sur les contrôleurs de domaine. Pour réduire la taille des données capturées :

    • Si possible, contenir uniquement le contrôleur principal ou secondaire domaine qui est plus susceptible de valider l'intrus.
    • Définir un filtre de capture, y compris uniquement le protocole server message block (SMB).
    • Configurer une assez grande mémoire tampon via les paramètres de tampon option dans le menu capture.
  2. Une fois les données ont été capturées, définir un filtre d'affichage pour n'inclure que :

    Protocole : SMB
    Propriété : Nom de compte
    Relation : existe
Cela affichera tous le SMB session installation initiale contenant le nom d'utilisateur et adresse de contrôle d'accès au média de la source.

Par exemple :
Src Mac Addr: Dst Mac Addr: Description
WKS1          SUNKING       C session setup & X, Username = MariaH, and C
tree connect & X, Share = \\SUNKING\IPC$
WKS2          SUNKING       C session setup & X, Username = JoeSmith, and C
tree connect & X, Share = \\SUNKING\IPC$
WKS3          SUNKING       C session setup & X, Username = Administrator,
and C tree connect & X, Share = \\SUNKING\IPC$

Dans l'exemple ci-dessus, WKS1 est l'ordinateur sur lequel l'utilisateur ouvre une session à partir de, SUNKING est le contrôleur de domaine la demande d'authentification et la description contient le compte de domaine Windows NT en cours d'utilisation.

Remarque : L'ADR MAC Src peut également été indiqué, un support de contrôle d'accès ou adresse IP si le nom NetBIOS n'a pas pu être résolu ou de l'entrée n'est pas dans la base de données d'adresses Moniteur réseau.

Utilisation de la base de données WINS

Déterminer à partir du système d'un utilisateur connecté à l'aide de la base de données WINS, procédez comme suit :

  1. Démarrez le Gestionnaire WINS.
  2. Dans le menu Mappages, cliquez sur Afficher la base de données.
  3. Cliquez sur filtre, tapez le nom du compte d'utilisateur dans l'ordinateur nom de critères, puis cliquez sur OK.
  4. Dans la liste de mappages, l'entrée avec le nom du compte d'utilisateur et l'identificateur 03 h correspond à l'adresse IP de la station de travail à partir de laquelle l'utilisateur connecté au domaine.

À l'aide de la table des noms distant NetBIOS

Pour déterminer quel système un utilisateur connecté à l'aide de la table des noms distant NetBIOS, procédez comme suit :

  1. À partir d'une invite de commande MS-DOS, tapez le texte suivant, puis appuyez sur ENTRÉE.

    net send < nom d'utilisateur > "texte message"

    où < nom d'utilisateur > est le compte d'utilisateur pour l'utilisateur que vous voulez rechercher.
  2. Tapez la commande suivante et appuyez sur ENTRÉE.

    nbtstat-c
  3. Comme dans l'exemple ci-dessus à l'aide de la base de données WINS, recherchez le nom d'utilisateur qui est associé à l'identificateur 03 h et la période d'enquête correspondante adresse est celle de la station de travail.
Pour plus d'informations, consultez les articles suivants de la base de connaissances Microsoft :

N° d'ARTICLE : 157238
TITLE : Comment activer dans Windows NT 4.0 d'enregistrement des événements de sécurité

N° d'ARTICLE : 173939
TITLE : Comment faire pour identifier l'utilisateur ayant modifié le mot de passe administrateur

N° d'ARTICLE : 140714
TITLE : Distinguer les enregistrements d'événements Windows NT audit

Propriétés

Numéro d'article: 175062 - Dernière mise à jour: mardi 31 octobre 2006 - Version: 1.1
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows NT Workstation 3.51
  • Microsoft Windows NT Workstation 4.0 Édition Développeur
  • Microsoft Windows NT Server 3.51
  • Microsoft Windows NT Server 4.0 Standard Edition
Mots-clés : 
kbmt KB175062 KbMtfr
Traduction automatique
IMPORTANT : Cet article est issu du système de traduction automatique mis au point par Microsoft (http://support.microsoft.com/gp/mtdetails). Un certain nombre d?articles obtenus par traduction automatique sont en effet mis à votre disposition en complément des articles traduits en langue française par des traducteurs professionnels. Cela vous permet d?avoir accès, dans votre propre langue, à l?ensemble des articles de la base de connaissances rédigés originellement en langue anglaise. Les articles traduits automatiquement ne sont pas toujours parfaits et peuvent comporter des erreurs de vocabulaire, de syntaxe ou de grammaire (probablement semblables aux erreurs que ferait une personne étrangère s?exprimant dans votre langue !). Néanmoins, mis à part ces imperfections, ces articles devraient suffire à vous orienter et à vous aider à résoudre votre problème. Microsoft s?efforce aussi continuellement de faire évoluer son système de traduction automatique.
La version anglaise de cet article est la suivante: 175062
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com