У нас есть подрядчики, которые периодически удаленно подключаются к нашим производственным серверам, и мы знаем, какие изменения они потенциально могут внести. Итак, что я могу использовать для входа в систему, когда пользователи входят или выходят на сервер (ы)?
Домен AD Windows Server 2003
Аудит событий входа в систему Итак, я осмотрелся и обнаружил, что вы можете создать групповую политику (и применить ее к OU производственного сервера), которая может отслеживать события входа в систему, другими словами, вести журнал событий, когда люди входят в систему или выходят из нее.
Для этого откройте «Управление групповой политикой», затем создайте новый объект групповой политики в «папке объектов групповой политики» и дайте ему описательное имя. Audit_Remote_logons мне кажется достаточно хорошим. Затем перейдите «Конфигурация компьютера -> Политики -> Параметры Windows -> Безопасность -> Локальная политика -> Политика аудита -> Затем откройте« Аудит событий входа в систему »и затем включите« Успех »и« Сбой ».
Теперь свяжите GPO с OU, для которых вы хотите включить эту функцию.
При желании запустите «GPUdate / force» на производственных серверах. После применения этой политики вы можете войти в свои журналы событий безопасности и просмотреть успешные события входа / выхода.