怎样确定用户是从哪台计算机登录的

本文的发布号曾为 CHS175062
本文已归档。它按“原样”提供,并且不再更新。
概要
本文说明的方法可以确定用户是从哪个系统登录的。 您可以选择下列一种或几种方法:

  • Windows NT 审核

    -或-
  • Microsoft 网络监视器 (或其它网络跟踪实用工具)

    -或-
  • 使用 Windows Internet 名称服务 (WINS) 数据库

    -或-
  • 使用 NetBIOS Remote Name Cache Table
更多信息

Windows NT 审核



为了使用 Windows NT 审核来确定用户是从哪个系统登录的,请执行以下步骤:

  1. 启动“域用户管理器”。
  2. 在“策略”菜单中单击“审核”。
  3. 单击启用“成功登录和注销”类别。 您也可以选择“失败”复选框。
在完成上述操作后,Windows NT 将为每个成功的登录创建事件日志。 日志将如下例所示:

   Date:     10/13/97  Event ID:  528   Time:     AM 10:32:11  Source:  Security   User:     JoeSmith  Type:  Success Audit   Computer: MKTINGDOM  Category: Logon/Logoff   Description:   Logon/Logoff: Successful   Logon User Name: JoeSmith   Domain: MKTINGDOM   Logon ID: (0x0,0x2D0D0)   Logon Type: 3   Logon Process: User32 Authentication Pkg:      MICROSOFT_AUTHENTICATION_PACKAGE_V1_0   Workstation Name: \\WKS2

网络监视器



为了使用“网络监视器”来确定用户是从哪个系统登录的,请执行以下步骤:
  1. 捕获所有传入到域控制器的通信。 为减少捕获数据的大小:

    • 如果可能,仅包括最可能验证入侵者的“主域控制器”或“备份域控制器”。
    • 设置捕获筛选程序,仅包括服务器消息块 (SMB) 协议。
    • 在“捕获”菜单上的“缓冲区设置”选项中,配置足够大的内存缓冲区。
  2. 当捕获到数据后,设置显示筛选程序以便仅显示:

    协议: SMB
    属性: 帐户名
    关系: 已存在的
这样将显示包含用户名和源媒体访问控制地址的所有初始 SMB 会话设置。

例如:
Src Mac Addr: Dst Mac Addr: DescriptionWKS1          SUNKING       C session setup & X, Username = MariaH, and Ctree connect & X, Share = \\SUNKING\IPC$WKS2          SUNKING       C session setup & X, Username = JoeSmith, and Ctree connect & X, Share = \\SUNKING\IPC$WKS3          SUNKING       C session setup & X, Username = Administrator,and C tree connect & X, Share = \\SUNKING\IPC$

在上面的示例中,WKS1 是用户用来登录的计算机,SUNKING 是对请求进行身份验证的域控制器,并且“Description”中包含所用的 Windows NT 域帐户。

备注: 如果 NetBIOS 名不能被解析或网络监视器地址数据库中没有该项,那么 Src Mac Addr 还可以作为媒体访问控制或 IP 地址显示。

使用 WINS 数据库



为了使用 WINS 数据库来确定用户是从哪个系统登录的,请执行以下步骤:

  1. 启动“WINS 管理器”。
  2. 在“映射”菜单上单击“显示数据库”。
  3. 单击“设置过滤器”,在“计算机名”筛选条件中键入用户帐户名,然后单击“确定”。
  4. 在“映射”列表中,带有用户帐户名和 03h 标识符的项目映射到用户用来登录域的工作站的 IP 地址。

使用 NetBIOS Remote Name Table



为了使用 NetBIOS Remote Name Table 来确定用户是从哪个系统登录的,请执行以下步骤:

  1. 在 MS-DOS 命令提示符下,键入以下命令,然后按 Enter 键。

    net send <user name> "text message"

    其中 <user name> 是您要查找用户的用户帐户。
  2. 键入以下命令,然后按 Enter 键。

    nbtstat -c
  3. 同上文使用 WINS 数据库的示例一样,找到带有 03h 标识符的用户名,相应的 IP 地址就是工作站的 IP 地址。
有关详细信息,请参见以下 Microsoft Knowledge Base 文章:

文章 ID:157238
标题: 怎样在 Windows NT 4.0 系统中激活安全事件日志

文章 ID:173939
标题: 怎样识别修改系统管理员密码的用户

文章 ID:140714
标题: 识别 Windows NT 审核事件记录
secevent sec audit
属性

文章 ID:175062 - 上次审阅时间:12/05/2015 08:07:15 - 修订版本: 1.1

Microsoft Windows NT Workstation 3.51, Microsoft Windows NT Workstation 4.0 开发员版, Microsoft Windows NT Server 3.51, Microsoft Windows NT Server 4.0 Standard Edition

  • kbnosurvey kbarchive KB175062
反馈