Можно ли отслеживать события выхода из Windows?
Я работаю над приложением для отслеживания событий входа / выхода пользователя из сети в домене Active Directory; приложение будет работать путем аудита журналов безопасности на контроллерах домена.
Аудит событий входа в систему может быть несколько сложным, но это может быть успешно сделано.
Моя проблема: как я могу отслеживать события выхода из системы?
Исходя из проведенного мной исследования, похоже, что эти события регистрируются только локально на рабочих станциях, но не на контроллерах домена; Кроме того, атрибут "lastLogoff" существует в пользовательских объектах AD, но на самом деле он никем не используется.
Это очень конкретный вопрос: что-то регистрируется на контроллерах домена, когда пользователь выходит из рабочей станции домена?
Чтобы уточнить: я не заинтересован в других методах аудита, я не могу развернуть сценарии входа / выхода и не могу нигде ничего установить; Я также знаю, что открытые и закрытые сетевые сессии регистрируются, но это не то, что я ищу. Мне нужно проверять интерактивные входы и выходы на рабочие станции домена, и я могу сделать это, только читая журналы безопасности контроллеров домена; чтение локальных журналов событий каждой рабочей станции исключено.
Если это не может быть сделано, это нормально; но мне нужен четкий ответ на этот вопрос.
- Можно ли это сделать?
- Если да, то как?
2 ответа
Похоже, это просто невозможно сделать.
Ничто не регистрируется на контроллерах домена, когда пользователь выходит из системы, кроме закрытых сетевых сеансов (но они могут быть закрыты в любое время, не только после выхода из системы).
Вы правы, они не вошли в ваш DC. Тем не менее, я считаю (но не уверен), что если ваш аудит достаточно высок на контроллере домена, событие регистрируется, когда кто-то отключает сетевой диск. Поэтому, если вы сопоставляете диски для своих пользователей, вы можете отслеживать их выходы из системы, но ищите это событие "отключить". Даже тогда я не уверен, что хотел бы положиться на это. Вы сказали, что не можете развертывать сценарии, но я просто упоминаю об этом, если вы уже находитесь в своей среде.