在 Windows 2003 網域控制站上的“安全性”事件日誌中,我看到事件 540 的多個項目——“成功的網路登入”,全天平均間隔幾分鐘。
對於特定使用者在特定日期的第一個時間是否一定是該使用者登入其電腦的時間?
如果沒有(或即使有)是否有另一種(更好?)方法來判斷用戶早上什麼時間登入?
答案1
如果您要在給定的用戶端電腦上尋找互動式登錄,則您需要尋找該用戶端電腦上的長事件。例如,使用快取憑證登入的使用者不會在網域控制器的事件日誌中建立條目。即使您不尋找使用快取憑證的登錄,配置客戶端電腦以審核登入事件並查看客戶端電腦的事件日誌也將為您提供最好、最準確且易於找到的資訊。
答案2
如果您知道使用者目前登入的計算機,請嘗試普斯洛格登來自 Sysinternals 套件。
答案3
AD 使用者物件上有一個名為「上次登入時間戳記」的屬性。每次使用者登入時都會更新一次,但不會超過每 14 天複製一次,因為它旨在用於搜尋失效帳戶。如果您願意輪詢域中的每個 DC 以獲取此信息,它可以用作更準確的計數器。由此,您可以建立一條記錄,記錄使用者何時對網域進行身份驗證,而不僅僅是在早上。
答案4
您可以在登入腳本中建立一行將時間戳記寫入檔案中的某個位置嗎?
就像是?
網路時間 >> \server\logonlogs\%username%.txt