Comment puis-je suivre, qui est entré dans le système?

Gardez une trace des journaux des événements sur les contrôleurs de domaine pour
http://www.ultimatewindowssecu ... 3D672
. Il montrera tous les événements de connexion réussis pour les utilisateurs. AD Et à partir de quel ordinateur ils sont entrés dans le système. Filtrez sur l'ordinateur pour recevoir des événements d'entrée uniquement pour les ordinateurs que vous êtes intéressé.

Vous pouvez créer un script de connexion et le lier dans la stratégie de groupe pour ces ordinateurs que

          %date% %time% %username% %computername%

        

Le fichier quelque part sur une ressource cachée. Ensuite, vous aurez un journal centralisé de toutes les entrées sur le système.

Je pense que vous cherchez probablement à savoir quand le contrôleur de domaine / L'Active Directory authentifie l'utilisateur. Certaines explications peuvent être trouvées dans
http://www.windowsecurity.com/ ... .html

Vérification des événements de connexion

- Cela vérifiera chaque événement associé à la saisie de l'utilisateur sur le système, sortie du système ou établira une connexion réseau à un ordinateur configuré pour audit des événements de connexion. Un bon exemple d'enregistrement de ces événements est une entrée interactive de l'utilisateur à son poste de travail à l'aide du compte d'utilisateur du domaine. Cela provoquera un événement sur le poste de travail, mais pas sur le contrôleur de domaine qui a terminé l'authentification. En fait, les événements de connexion sont suivis où une tentative d'entrée se produit et non sur l'emplacement du compte d'utilisateur. Ce paramètre n'est pas inclus pour tout système d'exploitation, à l'exception des contrôleurs de domaine. Windows Server 2003, qui sont configurés pour auditer le succès de ces événements. Habituellement, il est recommandé d'enregistrer ces événements sur tous les ordinateurs du réseau.

Inclus sur toutes les machines et utilisé avec le système qui extraire des grumes de toutes les machines, je le considère comme le plus fiable.

Après avoir accès à un groupe d'administrateurs, vous pouvez réellement "perdre" l'ordinateur et il sera difficile de le renvoyer.

Retourner à l'œuvre précédente, The Powers That Were (au lieu Be) Décidé de me faire être dans le groupe des administrateurs nommés à moi XP Pro Ce fut une bonne idée. Depuis que j'étais administrateur d'autres systèmes attachés à ce domaine, j'ai eu un autre compte à des fins administratives que je pourrais utiliser à ma discrétion. (Mise à jour périodique d'installation ou de logicielle ou similaire). Il était peu pratique de changer les rôles de ces deux comptes (Exchange, Adhésion à des groupes de serveurs divers, listes de contrôle d'accès des objets FS etc.). Je ne suis tout simplement pas d'accord pour que j'avais été obligé de vous connecter en tant qu'administrateur tous les jours. Par conséquent, comme ça va sans dire, j'ai mis en place une politique informatique locale. (gpedit) Pour le lancement asynchrone et visible des scripts de lancement et installé celui qui a commencé CMD. Naturellement, il a montré sa fenêtre à winstation se connecter (Je pense que je le décrire correctement, pas sûr) avec jeton de sécurité superutilisateur (SYSTEM). De là, je pouvais faire presque tout ce que je voulais, y compris le retrait de mon quotidien SID Domaine du groupe administrateur local (à certains égards), Ajout du compte d'administrateur proposé à l'administrateur local et configurer la tâche de récupération du planificateur de travail pour l'exécution. C'est toutes les quelques heures (Pour contourner la mise à jour automatique GPO).

Leur fournir à l'administrateur leur permettra également de créer des comptes locaux et de les utiliser au lieu de comptes de domaine et d'utiliser simplement "net use / user: DOM \ user" Pour l'authentification dans votre domaine pour accéder à toutes les ressources réseau, et seulement quand elles le souhaitent. . Donc quoi que ce soit, par exemple, tente de suivre les entrées / Les sorties du système peuvent être un peu risquées et inexactes. Si je ne me trompe pas, l'accès à l'administrateur ne sera pas si difficile de "vérifier les traces", au moins localement (Par exemple, des journaux d'événements clairs, configurez les caractéristiques de la journalisation des événements, modifiez les stratégies d'audit. , etc.)

Je pensais que la raison pour laquelle vous le faites et que vous le feriez, et peut-être qu'il y aurait un autre moyen de leur fournir un accès administrateur complet. Modèle de sécurité Windows Extrêmement détaillé et presque n'importe quel objet (Fichier, service, entrée de registre, etc.) Puis-je avoir ACL, Un identifiant de sécurité (Par exemple, des groupes) Avoir un riche ensemble de droits qu'ils peuvent être fournis.

Comptes locaux ou domaine? Voulez-vous dire que leurs comptes principaux sont des administrateurs ou recevront-ils un compte administrateur spécifiquement pour les modifications? S'il est central du domaine, vous pouvez vérifier les journaux de sécurité sur les contrôleurs de domaine et / ou des journaux de sécurité sur les ordinateurs locaux.

Ce
http://technet.microsoft.com/e ... .aspx
Entrées de journal des événements de sécurité et sur quoi rechercher. N'oubliez pas que si vous vérifiez les machines locales, les administrateurs peuvent nettoyer les journaux.

http://technet.microsoft.com/e ... .aspx
- Bon mandat Google Pour une plus grande lecture.

Vous pouvez suivre qui entre dans le système et sort. Devrait travailler dans Windows 7 et Windows Server 2008 R2:
http://teusje.wordpress.com/20 ... hell/