web-dev-qa-db-ja.com

ログインしているユーザーを監視するにはどうすればよいですか?

私たちの部門では、新しい管理ポリシーを実装しています。サポートする部門の全員が、自分のコンピューターへの管理者アクセスを取得します。 (この部門でこの「パイロットプログラム」ポリシーを実行している間)誰がログインしたか、いつログインしたかを任意のマシンで知る必要があります。では、(PowerShellスクリプト、cmdスクリプト、またはその他の自動手段を使用して)特定のWindows7またはXPマシン)に誰がログインしたかをどのように見つけることができますか?

windows-7windows-xploggingpowershellwindows-command-prompt
6
djhaskin987

ログオンスクリプトを作成し、それを%date% %time% %username% %computername%をエコーするコンピューターのグループポリシーで、どこかにある非表示の共有上のファイルにリンクすることができます。次に、すべてのログインの集中ログが作成されます。

11
MDMarra

ドメインコントローラのイベントログで event 672 を監視します。 ADユーザーの成功したすべてのログオンイベントと、ユーザーがログオンしたコンピューターが表示されます。コンピューターでフィルター処理して、関心のあるコンピューターのみのログオンイベントを取得します。

21
Wesley

おそらくあなたが探しているのは、ドメインコントローラー/ ActiveDirectoryがユーザーを認証するときはいつでも知っていることだと思います。いくつかの説明は http://www.windowsecurity.com/articles/windows-active-directory-auditing.html にあります。

ログオンイベントの監査–これは、構成されたコンピューターへのログオン、ログオフ、またはネットワーク接続のユーザーに関連する各イベントを監査します。ログオンイベントを監査します。これらのイベントがログに記録される良い例は、ユーザーがドメインユーザーアカウントを使用してワークステーションにインタラクティブにログオンする場合です。これにより、ワークステーションでイベントが生成されますが、認証を実行したドメインコントローラーでは生成されません。基本的に、ログオンイベントは、ユーザーアカウントが存在する場所ではなく、ログオンの試行が発生した場所で追跡されます。この設定は、これらのイベントの成功を監査するように構成されているWindows Server 2003ドメインコントローラーを除いて、どのオペレーティングシステムでも有効になっていません。これらのイベントをネットワーク上のすべてのコンピューターに記録することは、一般的でベストプラクティスです。

すべてのマシンで有効になっていて、すべてのマシンからログをプルするシステムで使用すると、最も信頼できると思います。

4
Jeff Ferland

管理者グループへのアクセスを許可すると、基本的にコンピュータを「失う」可能性があり、元に戻すのが難しい場合があります。

前の仕事に戻って、(Beではなく)The Powers That Wereは、私に割り当てられたXPProワークステーションの管理者グループに私を強制することは実際には大げさな考えであると判断しました。私はそのドメインに参加している他のシステムの管理者だったので、管理目的で別のアカウントを持っていて、適切と思われる場合に使用できました(ソフトウェアの不定期のインストールや更新など)。これらの2つのアカウント(Exchange、さまざまなサーバーのグループメンバーシップ、FSオブジェクトACLなど)の役割を交換することは実用的ではありませんでした。私は、管理者として毎日システムにログインすることを強制されるべきであることに単に同意しませんでした。当然のことながら、私はローカルコンピューターのポリシー(gpedit)を設定して、スタートアップスクリプトを非同期で視覚的に実行し、CMDを実行するものを確立していました。当然、これは、スーパーユーザー(SYSTEM)セキュリティトークンを使用して、ログオンウィンステーション(私はその権利を説明していると思いますが、確かではありません)にウィンドウを表示しました。そこから、ローカル管理者グループから日常のドメインSIDを削除する(ファッションの後で)、目的の管理者アカウントをローカル管理者に追加する、定期的なタスクスケジューラジョブを設定するなど、基本的に必要なことは何でもできます。数時間ごとに(自動GPO更新を回避するため)。

管理者を与えると、ローカルアカウントを作成して、ドメインアカウントの代わりに使用できるようになり、「Net Use/user:DOM\user」を使用して、ネットワークリソースにアクセスするために、必要な場合にのみドメインに対して認証を行うことができます。 。したがって、ログオン/ログオフを監視しようとするようなものは、少し厄介で不正確になる可能性があります。管理者アクセスがあれば、私が間違っていなければ、少なくともローカルで「トラックをカバー」することはそれほど難しくありません(イベントログのクリア、イベントログサービスの特性の設定、監査ポリシーの変更など)。 、など)

私はあなたがこれをしている理由について長くそして一生懸命考えます、そして多分彼らに完全な管理者アクセスを与えることを回避する他の方法を見つけるでしょう。 Windowsのセキュリティモデルは非常にきめ細かく、ほぼすべてのオブジェクト(ファイル、サービス、レジストリエントリなど)にACLを設定でき、SID(グループなど)には、それらに付与できる豊富な権限のセットがあります。

1
Joe Philipps

ローカルアカウント、またはドメイン?メインアカウントが管理者であるということですか、それとも変更専用の管理者アカウントを取得するということですか?ドメインの中心にある場合は、ドメインコントローラーのセキュリティイベントログやローカルコンピューターのセキュリティイベントログを確認できます。

ここに Microsoftドキュメント のセキュリティイベントログエントリと何を探すべきかがあります。ローカルマシンをチェックすると、管理者がログをクリアする可能性があることに注意してください。

Audit Logon は、より多くの読書をするための良いGoogle用語です。

0
TessellatingHeckler

誰がログインおよびログアウトしているかを監視できます。 Windows7およびWindowsServer 2008 R2で動作するはずです: http://teusje.wordpress.com/2012/09/11/windows-server-logging-users-logon-and-logoff-via-powershell/

0
juFo