วิธีการกำหนดจากคอมพิวเตอร์ใดที่ผู้ใช้ที่ล็อกอิน

ข้อมูลสำคัญ: บทความนี้แปลโดยซอฟต์แวร์การแปลด้วยคอมพิวเตอร์ของ Microsoft แทนที่จะเป็นนักแปลที่เป็นบุคคล Microsoft มีบทความที่แปลโดยนักแปลและบทความที่แปลด้วยคอมพิวเตอร์ เพื่อให้คุณสามารถเข้าถึงบทความทั้งหมดในฐานความรู้ของเรา ในภาษาของคุณเอง อย่างไรก็ตาม บทความที่แปลด้วยคอมพิวเตอร์นั้นอาจมีข้อบกพร่อง โดยอาจมีข้อผิดพลาดในคำศัพท์ รูปแบบการใช้ภาษาและไวยากรณ์ เช่นเดียวกับกรณีที่ชาวต่างชาติพูดผิดเมื่อพูดภาษาของคุณ Microsoft ไม่มีส่วนรับผิดชอบต่อความคลาดเคลื่อน ความผิดพลาดหรือความเสียหายที่เกิดจากการแปลเนื้อหาผิดพลาด หรือการใช้บทแปลของลูกค้า และ Microsoft มีการปรับปรุงซอฟต์แวร์การแปลด้วยคอมพิวเตอร์อยู่เป็นประจำ

ต่อไปนี้เป็นฉบับภาษาอังกฤษของบทความนี้:175062
บทความนี้ถูกเก็บถาวรแล้วเนื้อหาของบทความจึงถูกนำเสนอ "ตามลักษณะที่เป็น" และจะไม่มีการปรับปรุงข้อมูลอีก
สรุป
บทความนี้อธิบายวิธีการพร้อมใช้งานระบุจากระบบที่ผู้ใช้เข้าสู่ระบบ คุณสามารถเลือกจากหนึ่งในวิธีการต่อไปนี้:

 • การตรวจสอบ windows NT

  หรือ
 • การตรวจสอบเครือข่ายของ Microsoft (หรือยูทิลิตี้การสืบค้นกลับเครือข่ายอื่น ๆ)

  หรือ
 • การใช้ฐานข้อมูล Windows Internet ตั้งชื่อ Service (WINS)

  หรือ
 • ใช้ตาราง NetBIOS แคชื่อระยะไกล
ข้อมูลเพิ่มเติม

การตรวจสอบ windows NT

การตรวจสอบจากระบบที่ผู้ใช้เข้าสู่ระบบ ด้วยการตรวจสอบ Windows NT ดำเนินการขั้นตอนต่อไปนี้ต่อไปนี้:

 1. เริ่มตัวจัดการผู้ใช้สำหรับโดเมน
 2. คลิกตรวจสอบจากเมนูกรมธรรม์
 3. คลิกเพื่อเปิดการใช้งานสำเร็จสำหรับประเภทของการเข้าสู่ระบบและออกจากระบบ หรือคุณอาจได้เลือกกล่องกาเครื่องหมายการล้มเหลว
หลังจากที่ได้ถูกนำมาใช้ขั้นตอนข้างต้น Windows NT จะสร้างแฟ้มบันทึกเหตุการณ์สำหรับแต่ละบันทึกสำเร็จในความพยายามในการ แฟ้มบันทึกจะปรากฏขึ้นเหมือนกับตัวอย่างด้านล่าง:

  Date:   10/13/97 Event ID: 528  Time:   10:32:11 AM Source: Security  User:   JoeSmith Type: Success Audit  Computer: MKTINGDOM Category: Logon/Logoff  Description:  Logon/Logoff: Successful  Logon User Name: JoeSmith  Domain: MKTINGDOM  Logon ID: (0x0, 0x2D0D0)  Logon Type: 3  Logon Process: User32 Authentication Pkg:   MICROSOFT_AUTHENTICATION_PACKAGE_V1_0  Workstation Name: \\WKS2				

การตรวจสอบเครือข่าย

การตรวจสอบจากระบบที่ผู้ใช้เข้าสู่ระบบ ด้วยการตรวจสอบเครือข่าย ดำเนินการขั้นตอนต่อไปนี้ต่อไปนี้:
 1. จับภาพการรับส่งข้อมูลขาเข้าทั้งหมดเพื่อ controller(s) โดเมน เมื่อต้องการลดขนาดของข้อมูลที่มีการจับภาพ:

  • ถ้าเป็นไปได้ รวมเฉพาะหลักหรือตัวควบคุมโดเมนสำรองข้อมูลที่มีแนวโน้มเพื่อตรวจสอบ intruder ที่มากที่สุด
  • กำหนดตัวกรองจับ รวมทั้งเท่านั้นเซิร์ฟเวอร์ความบล็อก (SMB) คอ
  • บัฟเฟอร์ที่ใช้หน่วยความจำขนาดใหญ่พอที่จะดูการตั้งค่าบัฟเฟอร์การกำหนดค่าตัวเลือกในเมนูการจับภาพ
 2. หลังจากข้อมูลมีการจับภาพ กำหนดตัวกรองการแสดงผลรวมเท่านั้น:

  โพรโทคอล: SMB
  คุณสมบัติ: ชื่อบัญชี
  ความสัมพันธ์: มีอยู่
ซึ่งจะแสดงการตั้งทั้งหมดเริ่มต้น SMB เซสชันค่าประกอบด้วยชื่อผู้ใช้ และที่อยู่การควบคุมการเข้าถึงสื่อต้นฉบับ

ตัวอย่าง::
Src Mac Addr: Dst Mac Addr: DescriptionWKS1     SUNKING    C session setup & X, Username = MariaH, and Ctree connect & X, Share = \\SUNKING\IPC$WKS2     SUNKING    C session setup & X, Username = JoeSmith, and Ctree connect & X, Share = \\SUNKING\IPC$WKS3     SUNKING    C session setup & X, Username = Administrator,and C tree connect & X, Share = \\SUNKING\IPC$

ในตัวอย่างข้างต้น WKS1 เป็นคอมพิวเตอร์ที่กำลังเข้าสู่ระบบผู้ใช้จาก SUNKING เป็นตัวควบคุมโดเมนที่ร้องขอการ authenticating และคำอธิบายประกอบด้วยบัญชีโดเมน Windows NT ที่ถูกใช้

หมายเหตุ: ที่อยู่ Mac Src อาจจะถูกแสดงเป็นตัวควบคุมการเข้าถึงสื่อ หรือที่อยู่ IP ถ้าชื่อ NetBIOS ไม่สามารถแก้ไขหรือรายการไม่อยู่ในฐานข้อมูลที่อยู่ของการตรวจสอบเครือข่ายได้

การใช้ฐานข้อมูลของ WINS

การตรวจสอบจากระบบที่ผู้ใช้เข้าสู่ระบบโดยใช้ฐานข้อมูล WINS ดำเนินการขั้นตอนต่อไปนี้ต่อไปนี้:

 1. เริ่มตัวจัดการ WINS
 2. คลิกฐานข้อมูลที่แสดงบนเมนูการแมป
 3. คลิกการกำหนดตัวกรอง พิมพ์ชื่อบัญชีผู้ใช้ในคอมพิวเตอร์ที่ชื่อเงื่อนไข และจากนั้น คลิกตกลง
 4. ในรายการการแมป รายการที่ มีชื่อบัญชีผู้ใช้และรหัส 03 h แมปไปยังที่อยู่ IP ของเวิร์กสเตชันที่ผู้ใช้ล็อกออนโดเมน

ใช้ตารางชื่อ NetBIOS รีโมท

การตรวจสอบจากระบบที่ผู้ใช้เข้าสู่ระบบโดยใช้ NetBIOS ระยะไกลชื่อตาราง ดำเนินการขั้นตอนต่อไปนี้ต่อไปนี้:

 1. จากพร้อมต์คำสั่ง MS-DOS พิมพ์ต่อไปนี้ และจากนั้น กด Enter

  การส่งสุทธิ<user name="">"ข้อความของข้อความ"</user>

  ซึ่ง <user name="">คือบัญชีผู้ใช้สำหรับผู้ใช้ที่คุณกำลังพยายามค้นหา</user>
 2. พิมพ์ต่อไปนี้ และจากนั้น กด Enter

  nbtstat - c
 3. ในตัวอย่างข้างต้นโดยใช้ฐานข้อมูล WINS ค้นหาชื่อผู้ใช้ที่เกี่ยวข้องกับรหัส 03 h และ IP ที่สอดคล้องกัน อยู่จะของเวิร์กสเตชัน
สำหรับข้อมูลเพิ่มเติม โปรดดูบทความฐานความรู้ของ Microsoft:

หมายเลขบทความ:157238
ชื่อ: วิธีการที่เรียกใช้เหตุการณ์การรักษาความปลอดภัยที่บันทึกข้อมูลใน Windows NT 4.0

หมายเลขบทความ:173939
ชื่อ: วิธีการที่ระบุผู้ใช้เปลี่ยนแปลงรหัสผ่านของผู้ดูแลระบบ

หมายเลขบทความ:140714
ชื่อ: Distinguishing ระเบียนเหตุการณ์การตรวจสอบของ Windows NT
ตรวจสอบการ sec secevent

คำเตือน: บทความนี้ได้รับการแปลโดยอัตโนมัติ

คุณสมบัติ

รหัสบทความ: 175062 - การตรวจสอบครั้งสุดท้าย: 12/05/2015 08:07:15 - ฉบับแก้ไข: 2.0

Microsoft Windows NT Workstation 3.51, Microsoft Windows NT Workstation 4.0 Developer Edition, Microsoft Windows NT Server 3.51, Microsoft Windows NT Server 4.0 Standard Edition

 • kbnosurvey kbarchive kbmt KB175062 KbMtth
คำติชม