Met systeemeigen AD Audit
Stap 1: Controlebeleid inschakelen
- Open 'Server Manager' op uw Windows server.
- Klik onder het tabblad 'Beheren' op 'Beheer van groepsbeleid' om de console 'Groepsbeleidsbeheer' te openen.
- Navigeer naar Forest --> Domein --> Uw domein --> Domeincontrollers.
- U kunt ervoor kiezen om een bestaand groepsbeleidsobject te bewerken of om een nieuw object te maken.
- Navigeer naar Computerconfiguratie -> Windows instellingen -> Beveiligingsinstellingen -> Lokaal beleid -> Controlebeleid.
- Selecteer in Controlebeleid de optie 'Aanmeldingsgebeurtenissen controleren' en schakel deze in voor 'Geslaagd' en 'Mislukt'.
Stap 2: Aanmelden-afmelden inschakelen
- Ga terug naar Computerconfiguratie en navigeer naar Windows instellingen> Beveiligingsinstellingen> Geavanceerde configuratie van Controlebeleid> Controlebeleid> Aanmelden/afmelden.
- Configureer daaronder 'Audit aanmelden', 'Audit afmelden' en 'Audit Speciale aanmelding' en schakel ze in voor 'Geslaagd' en 'Mislukt'.
- Open de console Groepsbeleidbeheer en selecteer het groepsbeleidsobject dat u hebt bewerkt of gemaakt. Voeg in het rechterdeelvenster onder Beveiligingsfiltering de gebruikers toe van wie de aanmeldingen moeten worden gecontroleerd. Als u iedereen wilt controleren, is de optie beschikbaar. Als u echter een specifieke groep mensen wilt controleren, kunt u de groep ook toevoegen.
Stap 3: Active Directory Logboeken gebruiken om de logboeken te controleren
Zodra aanmeldingscontrole is ingeschakeld, worden ze in Active Directory Logboeken geregistreerd als gebeurtenissen met specifieke gebeurtenis-id's. Als u de gebeurtenissen wilt bekijken, opent u Logboeken en navigeert u naar Windows logboeken> Beveiliging. Zoek naar gebeurtenis-ID's 4624 (account is aangemeld), 4634 (account is afgemeld), 4647 (door de gebruiker gestarte afmelding) en 4672 (speciale aanmelding), 4800 (het werkstation is vergrendeld), 4801 (werkstation is ontgrendeld).
Klik aan de rechterkant op 'Huidig logboek filteren' om de logboeken te filteren op basis van gebeurtenis-ID's of het tijdsbestek waarvoor u de informatie nodig hebt.
Met ADAudit Plus
Schakel Controlebeleid in en schakel controle van aanmelden/afmelden in, zoals beschreven in stap 1 en 2 in de sectie systeemeigen AD controle.
Klik op het tabblad 'Rapporten' en selecteer vervolgens 'Lokaal aanmelden-Afmelden'. Hier zijn er meerdere rapporten die u de aanmeldingsgegevens geven die u nodig hebt en meer. Aanmeldingsactiviteit toont de aanmeldingspogingen, met onder andere de gebruikersnaam, aanmeldtijd, naam van het werkstation en type aanmelding. Aanmeldingsduur toont u de aanmeldtijd, de afmeldtijd en de duur van elke aangemelde sessie. Werkuren van de gebruiker geeft de totale hoeveelheid tijd aan die de gebruiker aangemeld op het werkstation heeft doorgebracht.
Hier volgt een voorbeeld van een rapport over aanmeldingsactiviteiten:
Klik bovenaan op 'Geavanceerd zoeken' om het rapport te filteren. U kunt diverse parameters, zoals gebruikersnaam, gebeurtenis-ID en domein, gebruiken om het rapport te filteren.
