¿Existe alguna forma de recopilar mediante programación una lista de usuarios que han iniciado sesión en un servidor de Windows (específicamente 2008 R2) en los últimos 30 días o entre dos fechas? Hay 2 servidores de directorio activo y todos los usuarios son miembros del mismo dominio.
Mi objetivo final es obtener automáticamente una lista de usuarios únicos para cada uno de nuestros servidores por motivos de SPLA.
Respuesta1
Esto es manual, en lugar de mediante un programa, pero puede crear un filtro en el Visor de eventos que mostrará solo sus eventos de inicio de sesión. Haga clic derecho en la Custom Views
carpeta y elija la Create Custom View
opción. Desafortunadamente, para este filtro tienes que editar el XML. Así es como se vería el XML del filtro:
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">
*[System[(EventID=4624)]]
and
*[EventData[Data[@Name='LogonType'] and (Data='2' or Data='10' or Data='11')]]
</Select>
<Suppress Path="Security">
*[EventData[Data[@Name='TargetDomainName'] and (Data = 'Window Manager')]]
</Suppress>
</Query>
</QueryList>
Es posible que desee editar esto para incluir también el tipo de inicio de sesión 7 (Desbloqueo de una sesión bloqueada). Más información sobre los códigos de tipo de inicio de sesión está disponible aquí:
http://www.windowsecurity.com/articles-tutorials/misc_network_security/Logon-Types.html
Tenga en cuenta que esto NO filtra por rango de fechas: solo inicios de sesión. Pero una vez que haya reducido esa parte, es fácil explorar manualmente el rango de fechas en el Visor de eventos.
Desafortunadamente, este filtro no funcionó cuando usé la opción "Conectar a otra computadora", incluso con el firewall apagado.
Respuesta2
No hay un camino fácil. Lo primero que me viene a la mente es revisar los registros de seguridad. Está buscando el ID de evento 4624. Preste atención al tipo de inicio de sesión (2,10,11 si su intención es contar los inicios de sesión interactivos).
Dependiendo de qué tan rápido se generen las entradas del registro de seguridad y del tamaño de su registro, es posible que el registro se sobrescriba antes del ciclo de 30 días.
Es mejor implementar un script de inicio de sesión que haga el recuento en un lugar central.