Zählen von Windows-Benutzern, die sich bei einem Server angemeldet haben

Zählen von Windows-Benutzern, die sich bei einem Server angemeldet haben

Gibt es eine Möglichkeit, programmgesteuert eine Liste der Benutzer zu erstellen, die sich innerhalb der letzten 30 Tage oder zwischen zwei Daten bei einem Windows-Server (insbesondere 2008 R2) angemeldet haben? Es gibt 2 Active Directory-Server und alle Benutzer sind Mitglieder derselben Domäne.

Mein Endziel ist es, aus SPLA-Gründen automatisch eine Liste eindeutiger Benutzer für jeden unserer Server zu erhalten.

Antwort1

Dies geschieht manuell und nicht über ein Programm, aber Sie können in der Ereignisanzeige einen Filter erstellen, der nur Ihre Anmeldeereignisse anzeigt. Klicken Sie mit der rechten Maustaste auf den Custom ViewsOrdner und wählen Sie die Create Custom ViewOption. Leider müssen Sie für diesen Filter die XML bearbeiten. So würde die XML für den Filter aussehen:

<QueryList>
  <Query Id="0" Path="Security">
    <Select Path="Security">
      *[System[(EventID=4624)]] 
      and 
      *[EventData[Data[@Name='LogonType'] and (Data='2' or Data='10' or Data='11')]]
    </Select>
    <Suppress Path="Security"> 
       *[EventData[Data[@Name='TargetDomainName'] and  (Data = 'Window Manager')]]
    </Suppress> 
  </Query>
</QueryList>

Möglicherweise möchten Sie dies bearbeiten, um auch Anmeldetyp 7 einzuschließen (Entsperren einer gesperrten Sitzung). Weitere Informationen zu Anmeldetypcodes finden Sie hier:

http://www.windowsecurity.com/articles-tutorials/misc_network_security/Logon-Types.html

Beachten Sie, dass NICHT nach Datumsbereich gefiltert wird: nur nach Anmeldungen. Wenn Sie diesen Teil jedoch eingegrenzt haben, können Sie den Datumsbereich in der Ereignisanzeige ganz einfach manuell durchsuchen.

Leider funktionierte dieser Filter bei mir bei der Nutzung der Option „Mit einem anderen Computer verbinden“ nicht, auch nicht bei ausgeschalteter Firewall.

Antwort2

Es gibt keinen einfachen Weg. Das Durchforsten der Sicherheitsprotokolle ist das Erste, was mir in den Sinn kommt. Sie suchen nach der Ereignis-ID 4624. Achten Sie auf den Anmeldetyp (2,10,11, wenn Sie interaktive Anmeldungen zählen möchten).

Abhängig davon, wie schnell Sicherheitsprotokolleinträge generiert werden und wie groß Ihr Protokoll ist, wird das Protokoll möglicherweise vor Ablauf des 30-Tage-Zyklus überschrieben.

Es ist besser, ein Anmeldeskript zu erzwingen, das die Zählung an einer zentralen Stelle durchführt.

verwandte Informationen