Как определить, на каком компьютере пользователь вошел в систему

Переводы статьи Переводы статьи
Код статьи: 175062 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

В этой статье

Аннотация

В данной статье описываются методы, доступные для идентификации из системы, которая пользователь вошел в систему. Можно выбрать из одной или нескольких из следующих способов:

  • Аудит в Windows NT

    -ИЛИ-
  • Сетевой монитор (или другое средство отслеживания сети)

    -ИЛИ-
  • С помощью базы данных WINS (Windows Internet именование службы)

    -ИЛИ-
  • С помощью таблицы удаленного кэша имен NetBIOS

Дополнительная информация

Аудит в Windows NT

Чтобы определить из системы, которая пользователь вошел в систему с Windows NT аудита, выполните следующие действия:

  1. Запустите диспетчер пользователей для доменов.
  2. Выберите из меню Политика аудита.
  3. Щелкните, чтобы включить успеха для категории входа и выхода из системы. При необходимости Можно также выбрать флажок отказ.
После реализации выше процедура создаст Windows NT журнал событий для каждого успешного входа в систему попытки. Журнал будет выглядеть как в следующем примере:

   Date:     10/13/97  Event ID:  528
   Time:     10:32:11 AM  Source:  Security
   User:     JoeSmith  Type:  Success Audit
   Computer: MKTINGDOM  Category: Logon/Logoff

   Description:
   Logon/Logoff: Successful
   Logon User Name: JoeSmith
   Domain: MKTINGDOM
   Logon ID: (0x0, 0x2D0D0)
   Logon Type: 3
   Logon Process: User32 Authentication Pkg:
      MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
   Workstation Name: \\WKS2
				

Сетевой монитор

Чтобы определить какие системы пользователь вошел в систему с помощью сетевого монитора выполните следующие действия:
  1. Записать весь входящий трафик для контроллеров домена. Для Уменьшите объем собранных данных:

    • Если это возможно включайте основного или резервного контроллера домена скорее всего, он проверяет.
    • Задайте фильтр записи, включая только server message block (SMB) протокол.
    • Настройка памяти достаточно большой буфер через параметры буфера параметр в меню «записи».
  2. После захвата данных задайте фильтр отображения, чтобы включить только:

    Протокол: SMB
    Свойства: Имя учетной записи
    Отношение: существует
В результате будут отображены все начальные установки сеанса SMB с пользователем имя и исходный носитель доступа адрес.

Например:
Src Mac Addr: Dst Mac Addr: Description
WKS1          SUNKING       C session setup & X, Username = MariaH, and C
tree connect & X, Share = \\SUNKING\IPC$
WKS2          SUNKING       C session setup & X, Username = JoeSmith, and C
tree connect & X, Share = \\SUNKING\IPC$
WKS3          SUNKING       C session setup & X, Username = Administrator,
and C tree connect & X, Share = \\SUNKING\IPC$

В приведенном выше примере WKS1 — это компьютер, где пользователь входит в сеть SUNKING — это контроллер домена проверяет подлинность запроса и Содержит описание использования учетной записи домена Windows NT.

Примечание: Адрес Mac Src может также было показано, как элемент управления или IP адрес, если не удается разрешить имя NetBIOS или операция не входит в База данных адресов сетевого монитора.

С помощью базы данных WINS

Определить какие системы пользователя, работающего с использованием базы данных WINS выполните следующие действия:

  1. Запуск диспетчера WINS.
  2. В меню Показать базы данных сопоставлений.
  3. Выберите набор фильтров, введите имя учетной записи пользователя в поле имя компьютера критерии, а затем нажмите кнопку ОК.
  4. В списке сопоставления, запись с именем учетной записи пользователя и 03 h Идентификатор сопоставляет IP-адрес рабочей станции, из которого пользователь вход в домен.

С помощью таблицы имен NetBIOS удаленного

Определить какие системы пользователя, работающего с помощью NetBIOS-имен удаленных Имя таблицы, выполните следующие действия:

  1. Введите следующую команду из командной строки MS-DOS, и нажмите клавишу ВВОД.

    NET send <user name=""> «текст сообщения»</user>

    где <user name=""> — это учетная запись пользователя для пользователя, который вы пытаетесь для поиска. </user>
  2. Введите следующую команду и нажмите клавишу ВВОД.

    nbtstat - c
  3. Как показано в примере выше, используя базу данных WINS найдите имя пользователя связанное с идентификатором 03 h и соответствующие IP адрес в том, что рабочая станция.
Для получения дополнительных сведений обратитесь к следующей знаний корпорации Майкрософт Статей:

КОД СТАТЬИ: 157238
Заголовок: Инструкции по активации Windows NT 4.0 журналирования событий безопасности

КОД СТАТЬИ: 173939
Название: Как идентифицировать пользователя, который изменил пароль администратора

КОД СТАТЬИ: 140714
Название: Различения записей аудита событий Windows NT

Свойства

Код статьи: 175062 - Последний отзыв: 4 июня 2011 г. - Revision: 4.0
Информация в данной статье относится к следующим продуктам.
  • операционная система Microsoft Windows NT Workstation 3.51
  • Microsoft Windows NT Workstation 4.0 Developer Edition
  • операционная система Microsoft Windows NT Server 3.51
  • Microsoft Windows NT Server 4.0 Standard Edition
Ключевые слова: 
kbmt KB175062 KbMtru
Переведено с помощью машинного перевода
ВНИМАНИЕ! Перевод данной статьи был выполнен не человеком, а с помощью программы машинного перевода, разработанной корпорацией Майкрософт. Корпорация Майкрософт предлагает вам статьи, переведенные как людьми, так и средствами машинного перевода, чтобы у вас была возможность ознакомиться со статьями базы знаний KB на родном языке. Однако машинный перевод не всегда идеален. Он может содержать смысловые, синтаксические и грамматические ошибки, подобно тому как иностранец делает ошибки, пытаясь говорить на вашем языке. Корпорация Майкрософт не несет ответственности за неточности, ошибки и возможный ущерб, причиненный в результате неправильного перевода или его использования. Корпорация Майкрософт также часто обновляет средства машинного перевода.
Эта статья на английском языке:175062

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com