Hoe u er achter kunt komen wie is ingelogd op de computer

Toezicht houden op het aan- en afmelden van domeingebruikers kan de organisatie voorzien van nuttige gegevens over hun werknemers, zoals aanwezigheid, werktijden, pauzes en meer. Een andere reden waarom de aanmeldingstijd moet worden gecontroleerd, is voor de veiligheid van de organisatie. Systeembeheerders kunnen aan- en afmeldgegevens gebruiken om mogelijke cyberaanvallen op de organisatie van binnenuit te voorkomen door ongebruikelijke activiteiten te detecteren, zoals langdurig aanmelden buiten kantooruren of aanmeldingsactiviteit wanneer de werknemer zich heeft ziekgemeld.

Hieronder volgt een vergelijking tussen het controleren van de aanmeldings en afmeldingsactiviteiten van domeingebruikers met behulp van systeemeigen audit hulpprogramma's en ADAudit Plus van ManageEngine, een uitgebreide realtime Active Directory Audit oplossing.

Gratis downloaden

Gratis volledig functionele proefperiode van 30 dagen

Met systeemeigen AD-controle
Met ADAudit Plus

Volg stap 1 en 2 in de sectie systeemeigen audit om Controlebeleid in te schakelen en om het controleren van aanmeldingen en afmeldingen in te schakelen.
Inloggen bij de ADAudit Plus webconsole als beheerder.
Klik op het Rapporten tabblad. Van de Lokale aan- en afmelding sectie in het linkerdeelvenster selecteert u het Aanmeldingsactiviteit rapport.
Het Aanmeldingsactiviteit rapport in ADAudit Plus toont de aanmeldingspogingen, samen met de gebruikersnaam, aanmeldingstijd, naam van het werkstation, type aanmelding en meer.
Hier volgen enkele van de beperkingen voor het genereren van een rapport van aanmeldingsactiviteit in Active Directory met behulp van systeemeigen controlemethoden:
1. Elke domeincontroller geeft een andere aanmeldingstijd aan vanwege niet-replicatie van gegevens.
2. Het is een complex proces om te midden van het lawaai de benodigde gegevens te verkrijgen.
3. Het is moeilijk om het rapport te genereren voor verschillende tijdzones en datumnotaties.
Met ADAudit Plus is het eenvoudig om met slechts een paar klikken een rapport van aanmeldingsactiviteit in Active Directory te verkrijgen dat wordt weergegeven in een eenvoudige en intuïtief ontworpen gebruikersinterface.

Stap 1: Controlebeleid inschakelen
Openen Serverbeheerder op Windows server.
Onder het Beheren tabblad, opent u de console Groepsbeleidbeheer .
Navigeer naar Forest --> Domein --> Uw domein --> Domeincontrollers.
U kunt een bestaand groepsbeleidsobject bewerken of een nieuw object maken.
Navigeer in de Groepsbeleidseditor naar Computerconfiguratie -> Beleid -> Windows-instellingen -> Beveiligingsinstellingen -> Lokaal beleid -> Controlebeleid.
Selecteer in Controlebeleid de optie 'Aanmeldingsgebeurtenissen controleren' en schakel de controle 'Geslaagd' en 'Mislukt' in.
Stap 2: Aanmelden-afmelden inschakelen
Ga terug naar Computerconfiguratie. Navigeer naar Windows instellingen -> Beveiligingsinstellingen -> Geavanceerde configuratie van controlebeleid -> Controlebeleid -> Aanmelden/afmelden.
Schakel daaronder Geslaagd en Mislukt controle in voor Controle aanmelden, Controle afmelden en Controle speciale aanmelding.
Open de console Groepsbeleidbeheer en selecteer het groepsbeleidsobject dat u hebt bewerkt of gemaakt. Voeg onder Beveiligingsfiltering de gebruikers toe van wie de aanmeldingen moeten worden bijgehouden. U kunt er ook voor kiezen om de aanmelding van elke domeingebruiker te controleren door Alle gebruikers te selecteren. Als u een groep domeingebruikers wilt controleren, kunnen de specifieke groep(en) worden toegevoegd.
Stap 3: Active Directory Logboeken gebruiken om de logboeken te controleren
Open Logboeken en navigeer naar Windows logboeken -> Beveiliging.
Zoek naar de gebeurtenis-ID's 4624 (account is aangemeld), 4634 (account is afgemeld), 4647 (door de gebruiker gestarte afmelding), 4672 (speciale aanmelding), 4800 (het werkstation is vergrendeld) en 4801 (werkstation is ontgrendeld).
Klik rechts op Huidig logboek filteren om de logboeken te filteren op basis van gebeurtenis-ID's of op het tijdsbereik waarvoor de informatie vereist is.

Wordt systeemeigen controle een beetje te veel?

Vereenvoudig de audit en rapportage van distributiegroepen met ADAudit Plus.

Ontvang uw gratis proefversie Volledig functionele proefperiode van 30 dagen

Met systeemeigen AD-controle
Met ADAudit Plus

Volg stap 1 en 2 in de sectie systeemeigen audit om Controlebeleid in te schakelen en om het controleren van aanmeldingen en afmeldingen in te schakelen.
Inloggen bij de ADAudit Plus webconsole als beheerder.
Klik op het Rapporten tabblad. Van de Lokale aan- en afmelding sectie in het linkerdeelvenster selecteert u het Aanmeldingsactiviteit rapport.
Het Aanmeldingsactiviteit rapport in ADAudit Plus toont de aanmeldingspogingen, samen met de gebruikersnaam, aanmeldingstijd, naam van het werkstation, type aanmelding en meer.
Hier volgen enkele van de beperkingen voor het genereren van een rapport van aanmeldingsactiviteit in Active Directory met behulp van systeemeigen controlemethoden:
1. Elke domeincontroller geeft een andere aanmeldingstijd aan vanwege niet-replicatie van gegevens.
2. Het is een complex proces om te midden van het lawaai de benodigde gegevens te verkrijgen.
3. Het is moeilijk om het rapport te genereren voor verschillende tijdzones en datumnotaties.
Met ADAudit Plus is het eenvoudig om met slechts een paar klikken een rapport van aanmeldingsactiviteit in Active Directory te verkrijgen dat wordt weergegeven in een eenvoudige en intuïtief ontworpen gebruikersinterface.

Stap 1: Controlebeleid inschakelen
Openen Serverbeheerder op Windows server.
Onder het Beheren tabblad, opent u de console Groepsbeleidbeheer .
Navigeer naar Forest --> Domein --> Uw domein --> Domeincontrollers.
U kunt een bestaand groepsbeleidsobject bewerken of een nieuw object maken.
Navigeer in de Groepsbeleidseditor naar Computerconfiguratie -> Beleid -> Windows-instellingen -> Beveiligingsinstellingen -> Lokaal beleid -> Controlebeleid.
Selecteer in Controlebeleid de optie 'Aanmeldingsgebeurtenissen controleren' en schakel de controle 'Geslaagd' en 'Mislukt' in.
Stap 2: Aanmelden-afmelden inschakelen
Ga terug naar Computerconfiguratie. Navigeer naar Windows instellingen -> Beveiligingsinstellingen -> Geavanceerde configuratie van controlebeleid -> Controlebeleid -> Aanmelden/afmelden.
Schakel daaronder Geslaagd en Mislukt controle in voor Controle aanmelden, Controle afmelden en Controle speciale aanmelding.
Open de console Groepsbeleidbeheer en selecteer het groepsbeleidsobject dat u hebt bewerkt of gemaakt. Voeg onder Beveiligingsfiltering de gebruikers toe van wie de aanmeldingen moeten worden bijgehouden. U kunt er ook voor kiezen om de aanmelding van elke domeingebruiker te controleren door Alle gebruikers te selecteren. Als u een groep domeingebruikers wilt controleren, kunnen de specifieke groep(en) worden toegevoegd.
Stap 3: Active Directory Logboeken gebruiken om de logboeken te controleren
Open Logboeken en navigeer naar Windows logboeken -> Beveiliging.
Zoek naar de gebeurtenis-ID's 4624 (account is aangemeld), 4634 (account is afgemeld), 4647 (door de gebruiker gestarte afmelding), 4672 (speciale aanmelding), 4800 (het werkstation is vergrendeld) en 4801 (werkstation is ontgrendeld).
Klik rechts op Huidig logboek filteren om de logboeken te filteren op basis van gebeurtenis-ID's of op het tijdsbereik waarvoor de informatie vereist is.

Wordt systeemeigen controle een beetje te veel?

Vereenvoudig de audit en rapportage van distributiegroepen met ADAudit Plus.

Ontvang uw gratis proefversie Volledig functionele proefperiode van 30 dagen

Hoe u er achter kunt komen wie is ingelogd op de computer

Met systeemeigen AD-controle

Met ADAudit Plus

Stap 1: Controlebeleid inschakelen

Stap 2: Aanmelden-afmelden inschakelen

Stap 3: Active Directory Logboeken gebruiken om de logboeken te controleren

Met systeemeigen AD-controle

Met ADAudit Plus

Stap 1: Controlebeleid inschakelen

Stap 2: Aanmelden-afmelden inschakelen

Stap 3: Active Directory Logboeken gebruiken om de logboeken te controleren

Gerelateerde instructies

Request Support

Thanks