Im Ereignisprotokoll „Sicherheit“ auf einem Windows 2003-Domänencontroller sehe ich mehrere Einträge des Ereignisses 540 – „Erfolgreiche Netzwerkanmeldung“, die im Tagesverlauf durchschnittlich im Abstand von einigen Minuten auftreten.
Ist die erste dieser Zeiten für einen bestimmten Benutzer an einem bestimmten Tag notwendigerweise die Zeit, zu der sich der Benutzer bei seinem Computer angemeldet hat?
Wenn nicht (oder selbst wenn), gibt es eine andere (bessere?) Möglichkeit, herauszufinden, um wie viel Uhr sich der Benutzer morgens angemeldet hat?
Antwort1
Wenn Sie nach der interaktiven Anmeldung auf einem bestimmten Clientcomputer suchen, müssen Sie nach dem Ereignisprotokoll auf diesem Clientcomputer suchen. Ein Benutzer, der sich beispielsweise mit zwischengespeicherten Anmeldeinformationen anmeldet, erstellt keine Einträge im Ereignisprotokoll eines Domänencontrollers. Auch wenn Sie nicht nach Anmeldungen mit zwischengespeicherten Anmeldeinformationen suchen, erhalten Sie die besten, genauesten und am einfachsten zu findenden Informationen, wenn Sie die Clientcomputer so konfigurieren, dass Anmeldeereignisse überwacht werden, und im Ereignisprotokoll des Clientcomputers nachsehen.
Antwort2
Wenn Sie wissen, an welchem Computer Ihr Benutzer derzeit angemeldet ist, versuchen SieAbonnierenaus der Sysinternals Suite.
Antwort3
Es gibt ein Attribut im AD-Benutzerobjekt namens „Last-Logon-Timestamp“. Es wird jedes Mal aktualisiert, wenn sich ein Benutzer anmeldet, aber nicht öfter als alle 14 Tage repliziert, da es zur Suche nach inaktiven Konten verwendet werden soll. Es kann als genauerer Zähler verwendet werden, wenn Sie bereit sind, jeden DC in der Domäne nach diesen Informationen abzufragen. Daraus können Sie eine Spur erstellen, wann sich Benutzer bei der Domäne authentifiziert haben, wann immer dies geschieht, nicht nur morgens.
Antwort4
Sie könnten in einem Anmeldeskript eine Zeile erstellen, die einen Zeitstempel irgendwo in eine Datei schreibt?
Etwas wie?
Nettozeit >> \Server\Logonlogs\%Benutzername%.txt