Comment faire pour déterminer de quel ordinateur à un utilisateur connecté

IMPORTANT : Cet article est issu du système de traduction automatique mis au point par Microsoft (http://support.microsoft.com/gp/mtdetails). Un certain nombre d’articles obtenus par traduction automatique sont en effet mis à votre disposition en complément des articles traduits en langue française par des traducteurs professionnels. Cela vous permet d’avoir accès, dans votre propre langue, à l’ensemble des articles de la base de connaissances rédigés originellement en langue anglaise. Les articles traduits automatiquement ne sont pas toujours parfaits et peuvent comporter des erreurs de vocabulaire, de syntaxe ou de grammaire (probablement semblables aux erreurs que ferait une personne étrangère s’exprimant dans votre langue !). Néanmoins, mis à part ces imperfections, ces articles devraient suffire à vous orienter et à vous aider à résoudre votre problème. Microsoft s’efforce aussi continuellement de faire évoluer son système de traduction automatique.

La version anglaise de cet article est la suivante: 175062
Cet article a été archivé. Il est proposé « en l'état » et ne sera plus mis à jour.
Résumé
Cet article décrit les méthodes disponibles pour identifier quel système de l'utilisateur connecté. Vous pouvez choisir une ou plusieurs des méthodes suivantes :

  • Audit de Windows NT

    - ou -
  • Moniteur réseau Microsoft (ou autre utilitaire de traçage réseau)

    - ou -
  • À l'aide de la base de données WINS (Windows Internet Naming Service)

    - ou -
  • À l'aide de la table de cache de noms distant NetBIOS
Plus d'informations

Audit de Windows NT

Déterminer à partir du système d'un utilisateur connecté avec audit de Windows NT, procédez comme suit :

  1. Démarrer le Gestionnaire des utilisateurs pour les domaines.
  2. Cliquez sur audit dans le menu stratégies.
  3. Cliquez pour activer des succès pour la catégorie d'ouverture et de fermeture de session. Si vous le souhaitez, vous pouvez également activez-la échec.
Après l'implémentation de la procédure ci-dessus, Windows NT va créer un journal des événements pour chaque journal réussie sur tentative. Le journal s'affichera comme l'exemple ci-dessous :

   Date:     10/13/97  Event ID:  528   Time:     10:32:11 AM  Source:  Security   User:     JoeSmith  Type:  Success Audit   Computer: MKTINGDOM  Category: Logon/Logoff   Description:   Logon/Logoff: Successful   Logon User Name: JoeSmith   Domain: MKTINGDOM   Logon ID: (0x0, 0x2D0D0)   Logon Type: 3   Logon Process: User32 Authentication Pkg:      MICROSOFT_AUTHENTICATION_PACKAGE_V1_0   Workstation Name: \\WKS2				

Moniteur réseau

Déterminer à partir du système d'un utilisateur connecté avec le Moniteur réseau, effectuez les opérations suivantes :
  1. Capturer tout le trafic entrant sur les contrôleurs de domaine. Pour réduire la taille des données capturées :

    • Si possible, contenir uniquement le contrôleur principal ou secondaire domaine qui est plus susceptible de valider l'intrus.
    • Définir un filtre de capture, y compris uniquement le protocole server message block (SMB).
    • Configurer une assez grande mémoire tampon via les paramètres de tampon option dans le menu capture.
  2. Une fois les données ont été capturées, définir un filtre d'affichage pour n'inclure que :

    Protocole : SMB
    Propriété : Nom de compte
    Relation : existe
Cela affichera tous le SMB session installation initiale contenant le nom d'utilisateur et adresse de contrôle d'accès au média de la source.

Par exemple :
Src Mac Addr: Dst Mac Addr: DescriptionWKS1          SUNKING       C session setup & X, Username = MariaH, and Ctree connect & X, Share = \\SUNKING\IPC$WKS2          SUNKING       C session setup & X, Username = JoeSmith, and Ctree connect & X, Share = \\SUNKING\IPC$WKS3          SUNKING       C session setup & X, Username = Administrator,and C tree connect & X, Share = \\SUNKING\IPC$

Dans l'exemple ci-dessus, WKS1 est l'ordinateur sur lequel l'utilisateur ouvre une session à partir de, SUNKING est le contrôleur de domaine la demande d'authentification et la description contient le compte de domaine Windows NT en cours d'utilisation.

Remarque : L'ADR MAC Src peut également été indiqué, un support de contrôle d'accès ou adresse IP si le nom NetBIOS n'a pas pu être résolu ou de l'entrée n'est pas dans la base de données d'adresses Moniteur réseau.

Utilisation de la base de données WINS

Déterminer à partir du système d'un utilisateur connecté à l'aide de la base de données WINS, procédez comme suit :

  1. Démarrez le Gestionnaire WINS.
  2. Dans le menu Mappages, cliquez sur Afficher la base de données.
  3. Cliquez sur filtre, tapez le nom du compte d'utilisateur dans l'ordinateur nom de critères, puis cliquez sur OK.
  4. Dans la liste de mappages, l'entrée avec le nom du compte d'utilisateur et l'identificateur 03 h correspond à l'adresse IP de la station de travail à partir de laquelle l'utilisateur connecté au domaine.

À l'aide de la table des noms distant NetBIOS

Pour déterminer quel système un utilisateur connecté à l'aide de la table des noms distant NetBIOS, procédez comme suit :

  1. À partir d'une invite de commande MS-DOS, tapez le texte suivant, puis appuyez sur ENTRÉE.

    net send < nom d'utilisateur > "texte message"

    où < nom d'utilisateur > est le compte d'utilisateur pour l'utilisateur que vous voulez rechercher.
  2. Tapez la commande suivante et appuyez sur ENTRÉE.

    nbtstat-c
  3. Comme dans l'exemple ci-dessus à l'aide de la base de données WINS, recherchez le nom d'utilisateur qui est associé à l'identificateur 03 h et la période d'enquête correspondante adresse est celle de la station de travail.
Pour plus d'informations, consultez les articles suivants de la base de connaissances Microsoft :

N° d'ARTICLE : 157238
TITLE : Comment activer dans Windows NT 4.0 d'enregistrement des événements de sécurité

N° d'ARTICLE : 173939
TITLE : Comment faire pour identifier l'utilisateur ayant modifié le mot de passe administrateur

N° d'ARTICLE : 140714
TITLE : Distinguer les enregistrements d'événements Windows NT audit
audit de s SecEvent

Avertissement : Cet article a été traduit automatiquement.

Propriétés

ID d'article : 175062 - Dernière mise à jour : 12/05/2015 08:07:14 - Révision : 1.1

Microsoft Windows NT Workstation 3.51, Microsoft Windows NT Workstation 4.0 Édition Développeur, Microsoft Windows NT Server 3.51, Microsoft Windows NT Server 4.0 Standard Edition

  • kbnosurvey kbarchive kbmt KB175062 KbMtfr
Commentaires