Windows 2003 도메인 컨트롤러의 "보안" 이벤트 로그에서 이벤트 540("성공한 네트워크 로그온")의 여러 항목이 하루 중 평균 몇 분 간격으로 표시되는 것을 볼 수 있습니다.
특정 날짜의 특정 사용자에 대한 첫 번째 시간은 반드시 사용자가 자신의 컴퓨터에 로그인한 시간입니까?
그렇지 않은 경우(또는 그렇다면) 사용자가 아침에 로그인한 시간을 알 수 있는 다른(더 나은?) 방법이 있습니까?
답변1
특정 클라이언트 컴퓨터에서 대화형 로그온을 찾고 있는 경우 해당 클라이언트 컴퓨터에서 긴 이벤트를 찾아야 합니다. 예를 들어 캐시된 자격 증명을 사용하여 로그온하는 사용자는 도메인 컨트롤러의 이벤트 로그에 항목을 만들지 않습니다. 캐시된 자격 증명을 사용하는 로그온을 찾고 있지 않더라도 로그온 이벤트를 감사하도록 클라이언트 컴퓨터를 구성하고 클라이언트 컴퓨터의 이벤트 로그를 보면 가장 정확하고 찾기 쉬운 최상의 정보를 얻을 수 있습니다.
답변2
사용자가 현재 로그인한 컴퓨터를 알고 있다면 다음을 시도해 보세요.psloggedonSysinternals Suite에서.
답변3
AD 사용자 개체에는 Last-Logon-Timestamp라는 특성이 있습니다. 이는 사용자가 로그인할 때마다 업데이트되지만, 죽은 계정을 검색하는 데 사용되기 때문에 14일 이상 복제되지 않습니다. 이 정보에 대해 도메인의 각 DC를 폴링하려는 경우 보다 정확한 카운터로 사용할 수 있습니다. 이를 통해 아침뿐만 아니라 문제가 발생할 때마다 사용자가 도메인에 인증한 시점에 대한 추적을 구축할 수 있습니다.
답변4
로그온 스크립트에서 파일 어딘가에 타임스탬프를 기록하는 줄을 만들 수 있습니까?
같은 것?
순시간 >> \server\logonlogs\%username%.txt