用户登录审计

Question

我想审计一个用户的最后登录-不幸的是，我们有10个域控制器和没有集中日志软件。

我的问题是，从用户'x‘请求最后一个'n’登录事件的最佳方式是什么。然后，我计划对每个域控制器执行$PS-会话，并聚合所有结果。

我的目标是确定他们的帐户是否从未知的设备/位置连接。

任何帮助都将不胜感激。我想我得用和一个过滤器做点什么？

Answer 1

来自cjwdev的ADInfo免费版将给你最后的登录和一些信息，但不会给你最后的"n“登录事件。您需要集中收集DC的安全日志，然后解析它们(通常使用第三方软件或SCOM等)。报告这件事。

您还可以使用GPO登录脚本，让它将登录的详细信息写到某个隐藏的共享中，然后在某个地方收集用户、用户登录的计算机、何时登录的数据。您可以让它为每个用户创建单独的文件，每次只需附加到该特定文件(可能将其命名为登录name.txt)。