如何確定使用者是從哪一台電腦登入

文章翻譯 文章翻譯
文章編號: 175062 - 檢視此文章適用的產品。
本文曾發行於 CHT175062
全部展開 | 全部摺疊

在此頁中

結論

本文說明的方法可確認使用者是從哪一個系統登入的。您可選擇下列一或多種方法:

  • Windows NT 稽核

    -或-
  • Microsoft 網路監視器 (或其它網路追蹤公用程式)

    -或-
  • 使用 Windows Internet 命名服務 (WINS) 資料庫

    -或-
  • 使用 NetBIOS 遠端名稱快取表格

其他相關資訊

Windows NT稽核

為利用 Windows NT 稽核,來判斷使用者是從哪個系統登入的,請執行以下步驟:

  1. 啟動 [網域使用者管理員]。
  2. 在 [原則] 功能表中按一下 [稽核]。
  3. 按一下以啟動 [成功登入和登出] 類別。亦可選擇 [失敗] 核取方塊。
在完成上述操作後,Windows NT 將為每次成功登入建立事件記錄。記錄內容如下所示:

   Date:     10/13/97  Event ID:  528
   Time:     AM 10:32:11  Source:  Security
   User:     JoeSmith  Type:  Success Audit
   Computer: MKTINGDOM  Category: Logon/Logoff

   Description:
   Logon/Logoff: Successful
   Logon User Name: JoeSmith
   Domain: MKTINGDOM
   Logon ID: (0x0,0x2D0D0)
   Logon Type: 3
   Logon Process: User32 Authentication Pkg:
      MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
   Workstation Name: \\WKS2

網路監視器

為使用「網路監視器」來判斷使用者是從哪個系統登入的,請執行以下步驟:
  1. 擷取所有傳送到網域控制器的資料。為減少擷取資料的大小:

    • 在可能的情況下,僅包含最有可能確認登入者的「主網域控制器」或「備份網域控制器」。
    • 在[擷取]功能表上的[篩選]選項中,設定[線路]為僅包含伺服器訊息區塊 (SMB) 通訊協定。
    • 在 [擷取] 功能表上的 [緩衝區設定] 選項中,設定足夠的記憶體緩衝區空間。
  2. 擷取資料後,設定顯示篩選以便僅供顯示:

    通訊協定:SMB
    內容:帳戶名稱
    關係:已存在
這樣可顯示所有包含使用者名稱,以及來源媒體存取控制位址的初始化 SMB 工作階段設定。

例如:
Src Mac Addr: Dst Mac Addr: Description
WKS1          SUNKING       C session setup & X, Username = MariaH, and C
tree connect & X, Share = \\SUNKING\IPC$
WKS2          SUNKING       C session setup & X, Username = JoeSmith, and C
tree connect & X, Share  = \\SUNKING\IPC$
WKS3          SUNKING       C session setup & X, Username = Administrator,
and C tree connect & X, Share = \\SUNKING\IP
C$

在上述範例中,WKS1 是使用者進行登入的電腦,SUNKING 則是驗證請求身份的網域控制器,而「Description」中則包含所使用的 Windows NT 網域帳戶。

附註:倘若無法解析 NetBIOS 名稱,或者網路監視器位址資料庫中沒有該項目,則 Src Mac Addr 亦可作為媒體存取控制或 IP 位址。

使用 WINS 資料庫

為使用 WINS 資料庫來判斷使用者從哪個系統登入,請執行以下步驟:

  1. 啟動 [WINS 管理員]。
  2. 在 [對應] 功能表上按一下 [顯示資料庫]。
  3. 按一下 [設定篩選器],在 [電腦名稱] 篩選條件中鍵入使用者帳戶名稱,然後按一下 [確定]。
  4. 在 [對應] 清單中,含有使用者帳戶名稱和 03h 識別符的項目,從使用者登入的網域對應到工作站的 IP 位址。

使用 NetBIOS 遠端名稱表格

為了使用 NetBIOS 遠端名稱表格來判斷使用者從哪個系統登入,請執行以下步驟:

  1. 在 MS-DOS 指令提示字元下,鍵入以下指令,然後按 Enter 鍵。

    net send <user name> "text message"

    其中 <user name> 是您要尋找的使用者帳戶。
  2. 鍵入以下指令,然後按 Enter 鍵。

    nbtstat -c
  3. 與上述使用 WINS 資料庫的範例相同,找出有關 03h 識別符的使用者名稱,以及工作站對應的 IP 位址。
有關詳細資訊,請參閱以下 Microsoft Knowledge Base 文件:

文件 ID: 157238
標題:如何在 Windows NT 4.0 系統中啟動安全事件記錄

文件 ID: 173939
標題:如何辨別變更管理者密碼的使用者

文件 ID: 140714
標題:判別 Windows NT 稽核事件記錄

屬性

文章編號: 175062 - 上次校閱: 2004年9月22日 - 版次: 1.1
這篇文章中的資訊適用於:
  • Microsoft Windows NT Workstation 3.51
  • Microsoft Windows NT Workstation 4.0 Developer Edition
  • Microsoft Windows NT Server 3.51
  • Microsoft Windows NT Server 4.0 Standard Edition
關鍵字:?
kbhowto ntdomain ntsrvwkst KB175062
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com