Я работаю над приложением для отслеживания событий входа и выхода сетевых пользователей в домене Active Directory; приложение будет работать путем аудита журналов безопасности на контроллерах домена.
Аудит событий входа в систему может быть несколько сложным, но его можно успешно выполнить.
Моя проблема: как отследить выйти События?
Основываясь на некоторых исследованиях, которые я провел, похоже, что эти события регистрируются только локально на рабочих станциях, но не на контроллерах домена; Кроме того, атрибут lastLogoff существует в пользовательских объектах AD, но фактически никем не используется.
Это очень конкретный вопрос: что-то вошло в систему DC когда пользователь выходит из системы с рабочей станции домена?
Чтобы уточнить: меня не интересуют другие методы аудита, я не могу развернуть сценарии входа / выхода и ничего не могу установить; Я также знаю, что открытые и закрытые сетевые сеансы регистрируются, но это не то, что я ищу. Мне нужно проводить аудит интерактивных входов и выходов на рабочие станции домена, и я могу сделать это, только читая журналы безопасности контроллеров домена; чтение локальных журналов событий каждой рабочей станции исключено.
Если это невозможно сделать, ничего страшного; но мне нужен четкий ответ по этому поводу.
Похоже, это просто невозможно.
Когда пользователь выходит из системы, на контроллерах домена ничего не регистрируется, кроме закрытых сетевых сеансов (но они могут быть закрыты в любое время, а не только после выхода из системы).
Вы правы, они не вошли в ваш DC. Однако я верю (но не уверен), что если ваш аудит достаточно высок на DC, событие регистрируется, когда кто-то отключает сетевой диск. Поэтому, если вы назначаете диски для своих пользователей, вы потенциально можете отслеживать их выходы из системы, но ищите это событие «размонтировать». Даже тогда я не уверен, что хотел бы на это полагаться. Вы сказали, что не можете развертывать сценарии, но я просто упоминаю об этом, если вы уже находитесь в своей среде.