怎样确定用户是从哪台计算机登录的

文章翻译 文章翻译
文章编号: 175062 - 查看本文应用于的产品
本文的发布号曾为 CHS175062
展开全部 | 关闭全部

本文内容

概要

本文说明的方法可以确定用户是从哪个系统登录的。 您可以选择下列一种或几种方法:

  • Windows NT 审核

    -或-
  • Microsoft 网络监视器 (或其它网络跟踪实用工具)

    -或-
  • 使用 Windows Internet 名称服务 (WINS) 数据库

    -或-
  • 使用 NetBIOS Remote Name Cache Table

更多信息

Windows NT 审核



为了使用 Windows NT 审核来确定用户是从哪个系统登录的,请执行以下步骤:

  1. 启动“域用户管理器”。
  2. 在“策略”菜单中单击“审核”。
  3. 单击启用“成功登录和注销”类别。 您也可以选择“失败”复选框。
在完成上述操作后,Windows NT 将为每个成功的登录创建事件日志。 日志将如下例所示:

   Date:     10/13/97  Event ID:  528
   Time:     AM 10:32:11  Source:  Security
   User:     JoeSmith  Type:  Success Audit
   Computer: MKTINGDOM  Category: Logon/Logoff

   Description:
   Logon/Logoff: Successful
   Logon User Name: JoeSmith
   Domain: MKTINGDOM
   Logon ID: (0x0,0x2D0D0)
   Logon Type: 3
   Logon Process: User32 Authentication Pkg:
      MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
   Workstation Name: \\WKS2

网络监视器



为了使用“网络监视器”来确定用户是从哪个系统登录的,请执行以下步骤:
  1. 捕获所有传入到域控制器的通信。 为减少捕获数据的大小:

    • 如果可能,仅包括最可能验证入侵者的“主域控制器”或“备份域控制器”。
    • 设置捕获筛选程序,仅包括服务器消息块 (SMB) 协议。
    • 在“捕获”菜单上的“缓冲区设置”选项中,配置足够大的内存缓冲区。
  2. 当捕获到数据后,设置显示筛选程序以便仅显示:

    协议: SMB
    属性: 帐户名
    关系: 已存在的
这样将显示包含用户名和源媒体访问控制地址的所有初始 SMB 会话设置。

例如:
Src Mac Addr: Dst Mac Addr: Description
WKS1          SUNKING       C session setup & X, Username = MariaH, and C
tree connect & X, Share = \\SUNKING\IPC$
WKS2          SUNKING       C session setup & X, Username = JoeSmith, and C
tree connect & X, Share = \\SUNKING\IPC$
WKS3          SUNKING       C session setup & X, Username = Administrator,
and C tree connect & X, Share = \\SUNKING\IPC$

在上面的示例中,WKS1 是用户用来登录的计算机,SUNKING 是对请求进行身份验证的域控制器,并且“Description”中包含所用的 Windows NT 域帐户。

备注: 如果 NetBIOS 名不能被解析或网络监视器地址数据库中没有该项,那么 Src Mac Addr 还可以作为媒体访问控制或 IP 地址显示。

使用 WINS 数据库



为了使用 WINS 数据库来确定用户是从哪个系统登录的,请执行以下步骤:

  1. 启动“WINS 管理器”。
  2. 在“映射”菜单上单击“显示数据库”。
  3. 单击“设置过滤器”,在“计算机名”筛选条件中键入用户帐户名,然后单击“确定”。
  4. 在“映射”列表中,带有用户帐户名和 03h 标识符的项目映射到用户用来登录域的工作站的 IP 地址。

使用 NetBIOS Remote Name Table



为了使用 NetBIOS Remote Name Table 来确定用户是从哪个系统登录的,请执行以下步骤:

  1. 在 MS-DOS 命令提示符下,键入以下命令,然后按 Enter 键。

    net send <user name> "text message"

    其中 <user name> 是您要查找用户的用户帐户。
  2. 键入以下命令,然后按 Enter 键。

    nbtstat -c
  3. 同上文使用 WINS 数据库的示例一样,找到带有 03h 标识符的用户名,相应的 IP 地址就是工作站的 IP 地址。
有关详细信息,请参见以下 Microsoft Knowledge Base 文章:

文章 ID: 157238
标题: 怎样在 Windows NT 4.0 系统中激活安全事件日志

文章 ID: 173939
标题: 怎样识别修改系统管理员密码的用户

文章 ID: 140714
标题: 识别 Windows NT 审核事件记录

属性

文章编号: 175062 - 最后修改: 2003年8月19日 - 修订: 1.1
这篇文章中的信息适用于:
  • Microsoft Windows NT Workstation 3.51
  • Microsoft Windows NT Workstation 4.0 开发员版
  • Microsoft Windows NT Server 3.51
  • Microsoft Windows NT Server 4.0 Standard Edition
关键字:?
KB175062
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com