Windows 2003 ドメイン コントローラの「セキュリティ」イベント ログに、1 日を通して平均数分間隔でイベント 540 (「ネットワーク ログオンの成功」) のエントリが複数表示されます。
特定の日の特定のユーザーの最初のものは、必ずしもユーザーが自分のマシンにログインした時間ですか?
そうでない場合(またはそうである場合でも)、ユーザーが午前中に何時にログインしたかを確認する別の(より良い)方法はありますか?
答え1
特定のクライアント コンピューターでの対話型ログオンを探している場合は、そのクライアント コンピューターのイベント ログを調べる必要があります。たとえば、キャッシュされた資格情報を使用してログオンするユーザーは、ドメイン コントローラーのイベント ログにエントリを作成しません。キャッシュされた資格情報を使用したログオンを探しているのではない場合でも、ログオン イベントを監査するようにクライアント コンピューターを構成し、クライアント コンピューターのイベント ログを調べると、最も正確で見つけやすい最適な情報が得られます。
答え2
ユーザーが現在ログインしているマシンがわかっている場合は、psloggedonSysinternals Suite から。
答え3
AD ユーザー オブジェクトには Last-Logon-Timestamp という属性があります。この属性はユーザーがログインするたびに更新されますが、使用されていないアカウントの検索に使用することを意図しているため、14 日以上は複製されません。この情報をドメイン内の各 DC にポーリングして取得する場合は、より正確なカウンターとして使用できます。これにより、朝だけでなく、ユーザーがドメインに認証されたときの記録を作成できます。
答え4
ログオン スクリプトで、どこかのファイルにタイムスタンプを書き込む行を作成できますか?
何かのようなもの?
ネット時間 >> \server\logonlogs\%username%.txt