您目前已離線,請等候您的網際網路重新連線

如何確定使用者是從哪一台電腦登入

本文曾發行於 CHT175062
結論
本文說明的方法可確認使用者是從哪一個系統登入的。您可選擇下列一或多種方法:

  • Windows NT 稽核

    -或-
  • Microsoft 網路監視器 (或其它網路追蹤公用程式)

    -或-
  • 使用 Windows Internet 命名服務 (WINS) 資料庫

    -或-
  • 使用 NetBIOS 遠端名稱快取表格
其他相關資訊

Windows NT稽核

為利用 Windows NT 稽核,來判斷使用者是從哪個系統登入的,請執行以下步驟:

  1. 啟動 [網域使用者管理員]。
  2. 在 [原則] 功能表中按一下 [稽核]。
  3. 按一下以啟動 [成功登入和登出] 類別。亦可選擇 [失敗] 核取方塊。
在完成上述操作後,Windows NT 將為每次成功登入建立事件記錄。記錄內容如下所示:

   Date:     10/13/97  Event ID:  528   Time:     AM 10:32:11  Source:  Security   User:     JoeSmith  Type:  Success Audit   Computer: MKTINGDOM  Category: Logon/Logoff   Description:   Logon/Logoff: Successful   Logon User Name: JoeSmith   Domain: MKTINGDOM   Logon ID: (0x0,0x2D0D0)   Logon Type: 3   Logon Process: User32 Authentication Pkg:      MICROSOFT_AUTHENTICATION_PACKAGE_V1_0   Workstation Name: \\WKS2

網路監視器

為使用「網路監視器」來判斷使用者是從哪個系統登入的,請執行以下步驟:
  1. 擷取所有傳送到網域控制器的資料。為減少擷取資料的大小:

    • 在可能的情況下,僅包含最有可能確認登入者的「主網域控制器」或「備份網域控制器」。
    • 在[擷取]功能表上的[篩選]選項中,設定[線路]為僅包含伺服器訊息區塊 (SMB) 通訊協定。
    • 在 [擷取] 功能表上的 [緩衝區設定] 選項中,設定足夠的記憶體緩衝區空間。
  2. 擷取資料後,設定顯示篩選以便僅供顯示:

    通訊協定:SMB
    內容:帳戶名稱
    關係:已存在
這樣可顯示所有包含使用者名稱,以及來源媒體存取控制位址的初始化 SMB 工作階段設定。

例如:
Src Mac Addr: Dst Mac Addr: DescriptionWKS1          SUNKING       C session setup & X, Username = MariaH, and Ctree connect & X, Share = \\SUNKING\IPC$WKS2          SUNKING       C session setup & X, Username = JoeSmith, and Ctree connect & X, Share  = \\SUNKING\IPC$WKS3          SUNKING       C session setup & X, Username = Administrator,and C tree connect & X, Share = \\SUNKING\IPC$

在上述範例中,WKS1 是使用者進行登入的電腦,SUNKING 則是驗證請求身份的網域控制器,而「Description」中則包含所使用的 Windows NT 網域帳戶。

附註:倘若無法解析 NetBIOS 名稱,或者網路監視器位址資料庫中沒有該項目,則 Src Mac Addr 亦可作為媒體存取控制或 IP 位址。

使用 WINS 資料庫

為使用 WINS 資料庫來判斷使用者從哪個系統登入,請執行以下步驟:

  1. 啟動 [WINS 管理員]。
  2. 在 [對應] 功能表上按一下 [顯示資料庫]。
  3. 按一下 [設定篩選器],在 [電腦名稱] 篩選條件中鍵入使用者帳戶名稱,然後按一下 [確定]。
  4. 在 [對應] 清單中,含有使用者帳戶名稱和 03h 識別符的項目,從使用者登入的網域對應到工作站的 IP 位址。

使用 NetBIOS 遠端名稱表格

為了使用 NetBIOS 遠端名稱表格來判斷使用者從哪個系統登入,請執行以下步驟:

  1. 在 MS-DOS 指令提示字元下,鍵入以下指令,然後按 Enter 鍵。

    net send <user name> "text message"

    其中 <user name> 是您要尋找的使用者帳戶。
  2. 鍵入以下指令,然後按 Enter 鍵。

    nbtstat -c
  3. 與上述使用 WINS 資料庫的範例相同,找出有關 03h 識別符的使用者名稱,以及工作站對應的 IP 位址。
有關詳細資訊,請參閱以下 Microsoft Knowledge Base 文件:

文件 ID: 157238
標題:如何在 Windows NT 4.0 系統中啟動安全事件記錄

文件 ID: 173939
標題:如何辨別變更管理者密碼的使用者

文件 ID: 140714
標題:判別 Windows NT 稽核事件記錄
內容

文章識別碼:175062 - 最後檢閱時間:09/22/2004 03:30:00 - 修訂: 1.1

  • Microsoft Windows NT Workstation 3.51
  • Microsoft Windows NT Workstation 4.0 Developer Edition
  • Microsoft Windows NT Server 3.51
  • Microsoft Windows NT Server 4.0 Standard Edition
  • kbhowto ntdomain ntsrvwkst KB175062
意見反應