Я отслеживаю EventID 4768 на сервере Active Directory, чтобы перехватить вход пользователей. Пока все хорошо ... Я заметил, что все события с пользователем, установленным на $, являются компьютерами.
Моя проблема в том, что, насколько я понимаю, мне разрешено устанавливать такие имена пользователей, как «abc $». Так что дифференцировать по «$» - не лучший способ.
Я также не вижу другой разницы между двумя событиями, одним из которых является компьютер, а другим - вход в систему.
Итак, как безопасно различать пользователей и компьютеры, когда я улавливаю события входа в систему?
Мне больше повезло с отслеживанием различных номеров идентификаторов событий для событий входа / выхода. Это идентификаторы 4624 (вход в систему) и 4634 (выход из системы), их можно сопоставить с помощью атрибута LogonGUID на обоих из них. Еще пара полезных идентификаторов: 4625 (неудачный вход) и 4740 (блокировка учетной записи).