En el registro de eventos de "Seguridad" en un controlador de dominio de Windows 2003, veo varias entradas del evento 540 - "Inicio de sesión exitoso en la red" con un intervalo promedio de unos minutos a lo largo del día.
¿El primero de estos para un usuario en particular en un día en particular es necesariamente la hora en que el usuario inició sesión en su máquina?
Si no es así (o incluso si es así), ¿hay otra forma (¿mejor?) de saber a qué hora inició sesión el usuario en la mañana?
Respuesta1
Si está buscando el inicio de sesión interactivo en una computadora cliente determinada, el evento largo en esa computadora cliente es donde debe buscar. Un usuario que inicia sesión, por ejemplo, con credenciales almacenadas en caché, no creará entradas en el registro de eventos de un controlador de dominio. Incluso si no está buscando inicios de sesión con credenciales almacenadas en caché, configurar las computadoras cliente para auditar los eventos de inicio de sesión y buscar en el registro de eventos de la computadora cliente le brindará la mejor información, la más precisa y fácil de localizar.
Respuesta2
Si conoce la máquina en la que su usuario está actualmente conectado, intentepsloggedonde la suite Sysinternals.
Respuesta3
Hay un atributo en el objeto Usuario de AD llamado Last-Logon-Timestamp. Se actualiza cada vez que un usuario inicia sesión, pero no se replica más de cada 14 días, ya que está diseñado para buscar cuentas inactivas. Se puede utilizar como un contador más preciso si está dispuesto a sondear cada DC del dominio para obtener esta información. A partir de ahí, puede crear un rastro de cuándo los usuarios se autenticaron en el dominio cuando suceda, no solo por la mañana.
Respuesta4
¿Podría, en un script de inicio de sesión, crear una línea que escriba una marca de tiempo en un archivo en alguna parte?
¿Algo como?
tiempo neto >> \servidor\logonlogs\%nombredeusuario%.txt