В журнале событий «Безопасность» на контроллере домена Windows 2003 я вижу несколько записей о событии 540 — «Успешный вход в сеть», появляющихся в среднем с интервалом в несколько минут в течение дня.
Обязательно ли первое из них для конкретного пользователя в конкретный день совпадает со временем, когда пользователь вошел в систему на своем компьютере?
Если нет (или даже если да), есть ли другой (лучший?) способ узнать, в какое время пользователь вошел в систему утром?
решение1
Если вы ищете интерактивный вход в систему на определенном клиентском компьютере, то вам нужно искать событие long на этом клиентском компьютере. Пользователь, который входит в систему, например, с кэшированными учетными данными, не будет создавать записи в журнале событий контроллера домена. Даже если вы не ищете входы в систему с кэшированными учетными данными, настройка клиентских компьютеров для аудита событий входа и просмотр журнала событий клиентского компьютера даст вам лучшую, самую точную и легко находимую информацию.
решение2
Если вы знаете, на каком компьютере в данный момент находится ваш пользователь, попробуйтепслоггедониз пакета Sysinternals.
решение3
В объекте пользователя AD есть атрибут Last-Logon-Timestamp. Он обновляется каждый раз, когда пользователь входит в систему, но не реплицируется чаще, чем каждые 14 дней, поскольку он предназначен для поиска мертвых учетных записей. Его можно использовать как более точный счетчик, если вы готовы опрашивать каждый контроллер домена в домене для получения этой информации. Из этого вы можете построить след того, когда пользователи аутентифицировались в домене, когда бы это ни происходило, а не только утром.
решение4
Можно ли в скрипте входа создать строку, которая записывает временную метку в файл?
Что-то вроде?
чистое время >> \server\logonlogs\%имя_пользователя%.txt