Làm thế nào để xác định từ máy tính mà người dùng đã đăng nhập

QUAN TRỌNG: Bài viết này được dịch bằng phần mềm dịch máy của Microsoft chứ không phải do con người dịch. Microsoft cung cấp các bài viết do con người dịch và cả các bài viết do máy dịch để bạn có thể truy cập vào tất cả các bài viết trong Cơ sở Kiến thức của chúng tôi bằng ngôn ngữ của bạn. Tuy nhiên, bài viết do máy dịch không phải lúc nào cũng hoàn hảo. Loại bài viết này có thể chứa các sai sót về từ vựng, cú pháp hoặc ngữ pháp, giống như một người nước ngoài có thể mắc sai sót khi nói ngôn ngữ của bạn. Microsoft không chịu trách nhiệm về bất kỳ sự thiếu chính xác, sai sót hoặc thiệt hại nào do việc dịch sai nội dung hoặc do hoạt động sử dụng của khách hàng gây ra. Microsoft cũng thường xuyên cập nhật phần mềm dịch máy này.

Nhấp chuột vào đây để xem bản tiếng Anh của bài viết này:175062
Bài viết này đã được lưu trữ. Bài viết được cung cấp "nguyên trạng" và sẽ không còn được cập nhật nữa.
TÓM TẮT
Bài viết này mô tả các phương pháp có sẵn để xác định các từ đó hệngười dùng đã đăng nhập. Bạn có thể chọn từ một hoặc một số phương pháp sau đây:

 • Windows NT kiểm toán

  - hay -
 • Microsoft Network Monitor (hoặc khác mạng truy tìm tiện ích)

  - hay -
 • Bằng cách sử dụng cơ sở dữ liệu Windows Internet đặt tên dịch vụ (thắng)

  - hay -
 • Bằng cách sử dụng bảng NetBIOS từ xa tên Cache
THÔNG TIN THÊM

Windows NT kiểm toán

Để xác định từ hệ thống mà một người dùng đăng nhập với Windows NT kiểm toán,thực hiện theo các bước sau:

 1. Bắt đầu quản lý người dùng cho tên miền.
 2. Nhấp vào kiểm định từ trình đơn chính sách.
 3. Nhấn vào đây để kích hoạt tính năng thành công cho mục đăng nhập và đăng xuất. Tùy chọn, bạn cũng có thể chọn hộp kiểm tra thất bại.
Sau khi thực hiện các thủ tục trên, Windows NT sẽ tạo ra mộtSổ ký sự để mỗi đăng nhập thành công vào nỗ lực. Đăng nhập sẽ xuất hiện như cácVí dụ dưới đây:

  Date:   10/13/97 Event ID: 528  Time:   10:32:11 AM Source: Security  User:   JoeSmith Type: Success Audit  Computer: MKTINGDOM Category: Logon/Logoff  Description:  Logon/Logoff: Successful  Logon User Name: JoeSmith  Domain: MKTINGDOM  Logon ID: (0x0, 0x2D0D0)  Logon Type: 3  Logon Process: User32 Authentication Pkg:   MICROSOFT_AUTHENTICATION_PACKAGE_V1_0  Workstation Name: \\WKS2				

Giám sát mạng

Để xác định từ hệ thống mà người dùng đã đăng nhập với Network Monitor,thực hiện theo các bước sau:
 1. Nắm bắt tất cả lưu lượng truy cập đến để controller(s) tên miền. Để làm giảm kích thước của các dữ liệu được quay:

  • Nếu có thể, bao gồm chỉ các tiểu hoặc bộ điều khiển vùng sao lưu đó là nhiều khả năng để xác nhận những kẻ xâm nhập.
  • Đặt một bộ lọc bắt giữ, bao gồm chỉ máy chủ tin nhắn chặn (giao thức SMB) giao thức.
  • Cấu hình một đủ lớn bộ nhớ đệm thông qua các thiết lập bộ đệm tùy chọn trong trình đơn bắt giữ.
 2. Sau khi dữ liệu đã bị bắt, đặt một bộ lọc hiển thị để chỉ bao gồm:

  Giao thức: SMB
  Bất động sản: Tên tài khoản
  Quan hệ: tồn tại
Điều này sẽ hiển thị thiết tất cả SMB phiên lập ban đầu có chứa người dùngtên và nguồn phương tiện truyền thông truy cập địa chỉ kiểm soát.

Ví dụ:
Src Mac Addr: Dst Mac Addr: DescriptionWKS1     SUNKING    C session setup & X, Username = MariaH, and Ctree connect & X, Share = \\SUNKING\IPC$WKS2     SUNKING    C session setup & X, Username = JoeSmith, and Ctree connect & X, Share = \\SUNKING\IPC$WKS3     SUNKING    C session setup & X, Username = Administrator,and C tree connect & X, Share = \\SUNKING\IPC$

Trong ví dụ trên, WKS1 là máy tính mà người dùng đang đăng nhập vàotừ, SUNKING là điều khiển vùng chứng thực các yêu cầu, và cácMô tả có trương mục vùng Windows NT đang được sử dụng.

Lưu Ý: Các địa chỉ Mac Src có thể cũng thể hiện như một phương tiện truyền thông truy cập kiểm soát hoặc IPĐịa chỉ nếu tên NetBIOS có thể không được giải quyết hoặc các mục nhập là không có trongcơ sở dữ liệu địa chỉ mạng Monitor.

Bằng cách sử dụng cơ sở dữ liệu thắng

Để xác định từ hệ thống mà người dùng đã đăng nhập bằng cách sử dụng cơ sở dữ liệu thắng,thực hiện theo các bước sau:

 1. Bắt đầu thắng Manager.
 2. Nhấp vào hiển thị cơ sở dữ liệu vào trình đơn ánh xạ.
 3. Bấm đặt bộ lọc, gõ tên trương mục người dùng tên máy tính tiêu chuẩn, và sau đó bấm OK.
 4. Trong danh sách ánh xạ, các mục nhập với tên người dùng tài khoản và 03 h định danh ánh xạ tới địa chỉ IP của máy trạm mà từ đó người sử dụng đăng nhập vào tên miền.

Bằng cách sử dụng bảng tên NetBIOS từ xa

Để xác định từ hệ thống mà người dùng đã đăng nhập bằng cách sử dụng từ xa NetBIOSTên bảng, thực hiện theo các bước sau:

 1. Từ một dấu nhắc lệnh MS-DOS, loại sau đây, và sau đó nhấn Enter.

  mạng gửi <user name=""> "tin nhắn văn bản"</user>

  nơi <user name=""> là trương mục người dùng cho người dùng bạn đang cố gắng để xác định vị trí.</user>
 2. Loại sau đây, và sau đó nhấn Enter.

  nbtstat - c
 3. Như trong ví dụ trên bằng cách sử dụng cơ sở dữ liệu thắng, xác định vị trí tên người dùng đó là liên kết với các định danh 03 h và IP tương ứng Địa chỉ là ý kiến của các máy trạm.
Để biết thêm chi tiết, xin tham khảo kiến thức Microsoft sauBài viết cơ sở:

ID CỦA BÀI: 157238
Tiêu đề: Làm thế nào để kích hoạt sự kiện bảo mật đăng nhập Windows NT 4.0

ID CỦA BÀI: 173939
Tiêu đề: Làm thế nào để xác định người dùng đã thay đổi mật khẩu quản trị viên

ID CỦA BÀI: 140714
Tiêu đề: Phân biệt Windows NT kiểm toán sự kiện Records
secevent giây kiểm toán

Cảnh báo: Bài viết này được dịch tự động

Thuộc tính

ID Bài viết: 175062 - Xem lại Lần cuối: 12/05/2015 08:07:15 - Bản sửa đổi: 2.0

Microsoft Windows NT Workstation 3.51, Microsoft Windows NT Workstation 4.0 Developer Edition, Microsoft Windows NT Server 3.51, Microsoft Windows NT Server 4.0 Standard Edition

 • kbnosurvey kbarchive kbmt KB175062 KbMtvi
Phản hồi