-
Con il controllo AD nativo
-
Con ADAudit Plus
Report completi per tenere traccia degli avvii e degli arresti dei computer.
ADAudit Plus è una soluzione di controllo Active Directory completa che ti aiuterà a monitorare e verificare gli accessi e le disconnessioni locali da parte degli utenti del dominio. Può anche tenere traccia di altri eventi critici che possono causare interruzioni della rete. Utilizzando ADAudit Plus, puoi tenere traccia degli avvii e degli arresti in tutti i computer del tuo dominio.
I report predefiniti della soluzione che forniscono i dettagli sull'avvio e l'arresto dei computer possono essere generati automaticamente e inviati via posta elettronica a intervalli specificati. Puoi anche esportare questi report in un formato a tua scelta. Ecco come accedere ai report di avvio e spegnimento del computer utilizzando ADAudit Plus:
Accedi ad ADAudit Plus → Vai alla scheda Reports → In Local Logon-Logoff Reports → vai al report Computer Startup and Shutdown.
-
- I dettagli che puoi ottenere con questo report sono:
- Nome del computer
- L'utente che ha avviato l'azione
- L'ora in cui è avvenuto l'avvio del computer
- L'ora in cui si è verificato l'arresto del computer
- L'ora dell'ultima disconnessione
- Le ore di attività (la quantità di tempo in cui il computer è stato connesso/la durata tra l'avvio e l'arresto corrispondente)
- Il tipo di spegnimento (esistono due tipi di arresto: quello che si verifica quando il computer è effettivamente spento e l'arresto temporaneo che si verifica quando il dispositivo viene riavviato).
- Il processo informatico che ha innescato l'arresto
- I dettagli che puoi ottenere con questo report sono:
Puoi anche tenere traccia dell'ultima volta che un computer è stato avviato e spento utilizzando il report "Computer Last Startup and Shutdown ". Questo report può fornire dettagli su chi ha eseguito l'azione, quando si è verificata e il processo che ha attivato l'avvio o l'arresto.
Accedi ad ADAudit Plus → Vai alla scheda Reports → In Local Logon-Logoff Reports → vai al report Computer Startup and Shutdown.
Ecco come è possibile monitorare gli avvii e gli arresti dei computer con il controllo nativo di AD:
-
Passaggio 1: Abilita il criterio "Audit logon events"
-
Avvia "Server Manager" nella tua istanza di Windows Server.
-
In Manage, seleziona "Gestione Criteri di gruppo" e avvia la Console Gestione Criteri di gruppo.
-
Vai a Foresta → Dominio → Il tuo dominio → Controller di dominio.
-
Crea un nuovo oggetto Criteri di gruppo e collegalo al dominio contenente l'oggetto computer oppure modifica un qualsiasi oggetto Criteri di gruppo esistente collegato al dominio per aprire l'"Editor Gestione Criteri di gruppo".
-
Vai a Configurazione computer → Impostazioni di Windows → Impostazioni di sicurezza → Criteri locali → Criteri controllo.
-
In Criteri controllo, seleziona "Controlla eventi di sistema” e attiva il controllo per gli eventi di operazioni riuscite e non riuscite.
-
Passaggio 2: Abilita il controllo "Logon/Logoff"
-
Ora, vai a Configurazione computer → Impostazioni di Windows → Impostazioni di sicurezza → Configurazione avanzata dei criteri di controllo → Criteri di controllo di sistema - Oggetto Criteri di gruppo locale → Sistema.
-
In System, abilita il controllo per "Audit Security State Change" (attiva il controllo sia per i successi che per gli errori).
-
Passaggio 3: Tieni traccia dell'avvio e dell'arresto del computer nel Visualizzatore eventi
-
Ogni volta che un utente avvia o spegne un computer, verrà registrato un registro eventi nel Visualizzatore eventi. Questi registri degli eventi possono essere utilizzati per tenere traccia delle ore di attività del computer. Per visualizzare questi registri di controllo, accedi al Visualizzatore eventi. In Registri di Windows, seleziona Sistema. Puoi trovare tutti i registri di controllo nel riquadro centrale come mostrato di seguito.
-
Per filtrare i registri degli eventi per visualizzare solo i registri associati all'avvio e allo spegnimento del computer, seleziona "Filter Current Log" dal riquadro di destra. Basta cercare l'ID evento 6005 (Il computer è stato avviato), 6006 (Il computer è stato spento). Puoi vedere quando il computer è stato avviato e spento.
Utilizzando queste informazioni, è possibile identificare quando un computer è stato spento o avviato. Se si desidera monitorare più dispositivi, questo processo deve essere ripetuto più volte.
Il controllo nativo è un po' troppo?
Semplifica il controllo e la creazione di report di avvio e spegnimento del computer con ADAudit Plus.
Scaricalo gratuitamente Versione di prova di 30 giorni completamente funzionante