如何跟踪用户登录/注销

适用于: Microsoft Windows Server 2003 Standard Edition (32-bit x86)Microsoft Windows Server 2003 Enterprise Edition for Itanium-based SystemsMicrosoft Windows Server 2003 Enterprise Edition (32-bit x86)

作者:


Yuval Sinay MVP

社区解决方案内容免责声明


微软公司和/或其相应的供应商进行关于适用性、 可靠性或准确性的信息和相关的图形包含本文所述的任何表示。所有此类信息和相关的图形被提供"按原样",没有任何形式的担保。微软和/或其相应的供应商特此不作出任何担保和与该信息有关的状况和相关的图形,包括所有暗示担保和条件对适销性、 适合特定用途,WORKMANLIKE投入、 标题和非侵权性。 您明确同意,在任何情况下 MICROSOFT 或其供应商应承担责任的任何直接、 间接、 惩罚性、 偶然、 特殊、 后果性损害或任何损害任何包括但不限于,使用中,损失数据或利润,而导致的数据或任何方式连接的使用或无法使用的信息和相关的图形包含本文所述,不论是基于合同、 民事侵权行为、 过失、 严格责任上或以其他方式,即使 MICROSOFT 或其供应商的任何已被建议赔偿的可能性。

概要


下面的文章将帮助您跟踪用户登录/注销

提示


 选项 1:1.通过使用组策略启用的域级别的审核:计算机配置 /windows 设置/安全设置/本地策略中的审核策略有两种类型的审核日志记录的地址,它们是审核登录事件审核帐户登录事件。     "登录事件"审核记录登录 PC(s) 策略的目标,结果将显示在该 PC(s) 上的安全日志。     审核"帐户登录"事件跟踪登录到域中,而且结果显示只有 2 的域控制器上的安全日志中。使用以下内容所需的域 OU/用户帐户在创建登录脚本: 回显 %日期 %,%时间 %、 %计算机名 %、 %用户名 %、 会话名 %%,%logonserver%>> 3。在使用以下内容所需的域 OU/用户帐户创建一个注销脚本: 回显 %日期 %,%时间 %、 %计算机名 %、 %用户名 %、 会话名 %%,%logonserver%>>注意: 请注意,未经授权的用户可以更改此脚本,由于要求将由用户可写的共享名 $。 选项 2: 使用 WMI/ADSI 来查询每个域控制器针对登录/注销事件。