No log de eventos "Segurança" em um controlador de domínio do Windows 2003, vejo várias entradas do evento 540 - "Logon de rede bem-sucedido", com intervalo médio de alguns minutos ao longo do dia.
O primeiro deles para um determinado usuário em um determinado dia é necessariamente o horário em que o usuário efetuou login em sua máquina?
Se não (ou mesmo assim), existe outra maneira (melhor?) De saber a que horas o usuário fez login pela manhã?
Responder1
Se você estiver procurando o logon interativo em um determinado computador cliente, o evento longo nesse computador cliente é onde você precisa procurar. Um usuário que faz logon com, por exemplo, credenciais armazenadas em cache, não criará entradas no log de eventos de um controlador de domínio. Mesmo que você não esteja procurando logons com credenciais em cache, configurar os computadores clientes para auditar eventos de logon e consultar o log de eventos do computador cliente fornecerá as informações melhores, mais precisas e fáceis de localizar.
Responder2
Se você conhece a máquina na qual seu usuário está conectado no momento, tentepslogadodo pacote Sysinternals.
Responder3
Há um atributo no objeto Usuário AD chamado Last-Logon-Timestamp. Ele é atualizado sempre que um usuário faz login, mas não é replicado mais do que a cada 14 dias, pois se destina a ser usado para pesquisar contas inativas. Ele pode ser usado como um contador mais preciso se você estiver disposto a pesquisar cada DC no domínio para obter essas informações. A partir disso, você pode criar uma trilha de quando os usuários se autenticaram no domínio, sempre que isso acontecer, não apenas pela manhã.
Responder4
Você poderia, em um script de logon, criar uma linha que grava um carimbo de data/hora em um arquivo em algum lugar?
Algo como?
horário da rede >> \server\logonlogs\%username%.txt