Jak mogę sprawdzić kiedy dany użytkownik logował się i wylogowywał się z domeny? Za jaki okres domyślnie przechowywana jest taka informacja?
Jak mogę sprawdzić kiedy dany użytkownik logował się i wylogowywał się z domeny? Za jaki okres domyślnie przechowywana jest taka informacja?
Z kontem użytkownika powiązane są dwa atrybuty - LastLogOn i LastLogOff
Można wyeksportować konta za pomocą narzędzia CSVDE do pliku i podejrzeć wartości tych atrybutów.
Użytkownik podczas logowania uwierzytelnia się w kontrolerze domeny. Kontroler domeny zapisuje te informację w logach zapamiętując godzinę i dane użytkownika. Proces uwierzytelniania, jeśli zakończył się sukcesem, przyznaje użytkownikowi TOKEN (w którym jest informacja o grupach do których użytkownik należy i jakie otrzymał prawa) i zapisuje informacje w atrybutach obiektów AD. Zapisane informacje można sprawdzić poleceniem Powershell - get-aduser:
Nie ma domyślne możliwości sprawdzania „procesu wylogowywana”, bo jest to operacja wykonywana bez udziału kontrolera domeny (chyba, że skonfigurowano specyficzny skrypt wylogowywana zintegrowany z kontem użytkownika).
Domyślne ustawienia w AD:
Historyczne dane logowania można wyszukać w logach systemowych komputera, który był użyty do logowania, lub na kontrolerze przez który odbyło się logowanie.
Ile zdarzeń możemy przechowywać zależy od konfiguracji logu.
Skojarzone wątki które warto przeczytać:
https://quorum.akademiq.pl/discussion/982
https://quorum.akademiq.pl/discussion/2681/analiza-log%C3%B3w-systemowych