Med inbyggd AD-granskning
Steg 1: Aktivera granskningsprincip
- Öppna "Serverhanterare" i din Windows-server.
- Under fliken "Hantera" klickar du på "Hantering av grupprincip" för att öppna "Group Policy Management Console".
- Navigera till Skog>Domän>Din domän>Domänkontrollanter.
- Du kan välja att antingen redigera ett befintligt grupprincipobjekt eller skapa ett nytt.
- I redigeraren för grupprincip navigerar du till Datorkonfiguration > Windows-inställningar > Säkerhetsinställningar > Lokala principer > Granskningsprincip.
- I Granskningsprincip väljer du "Granska inloggningshändelser" och aktiverar det för "Lyckade" och "Misslyckade".
Steg 2: Aktivera inloggning-utloggning
- Gå tillbaka till Datorkonfiguration och navigera till Windows-inställningar > Säkerhetsinställningar > Konfiguration av avancerad granskningsprincip > Granskningsprincip > Inloggning/Utloggning.
- Under detta konfigurerar du "Granska inloggning", "Granska utloggning" och "Granska särskild inloggning" och aktivera dem för "Lyckad" och "Misslyckad".
- Öppna Group Policy Management Console och välj den GPO som du har redigerat eller skapat. I den högra rutan, under Säkerhetsfiltrering, lägger du till användare vars inloggningar behöver granskas. Om du vill granska alla är det alternativet tillgängligt. Om du istället vill granska en specifik grupp av personer kan du också lägga till den gruppen.
Steg 3: använd loggboken i Active Directory för att kontrollera loggarna
När inloggningsgranskningen är aktiverad registrerar loggboken i Active Directory dem som händelser med specifika händelse-ID:n. Om du vill visa händelserna öppnar du Loggboken och navigerar till Windows-loggar > Säkerhet. Leta efter händelse-ID:n 4624 (konto loggades in), 4634 (konto loggades ut), 4647 (användarinitierad inloggning) och 4672 (särskild inloggning), 4800 (arbetsstation låst), 4801 (arbetsstation upplåst).
Klicka på "Filtrera nuvarande logg" på höger sida för att filtrera loggarna baserat på händelse-ID:n eller tidsintervallet som du behöver information om.
Med ADAudit Plus
Slå på granskningsprincip och aktivera granskning av inloggning/utloggning som beskrivs i steg 1 och 2 i avsnittet om inbyggd AD-granskning.
Klicka på fliken "Rapporter" och välj sedan "Lokal inloggning-utloggning". Här finns flera rapporter som ger dig den inloggningsinformation du behöver och mer därtill. Inloggningsaktivitet visar inloggningsförsöken, med användarnamn, inloggningstid, arbetsstationens namn, typ av inloggning och andra exempel. Inloggningstid ger dig inloggningstid, utloggningstid och varaktigheten för varje inloggad session. Användarens arbetstider anger den totala tid som användaren har varit inloggad på arbetsstationen.
Här är en exempelrapport på inloggningsaktivitet:
Klicka på "Avancerad sökning" högst upp för att filtrera rapporten. En mängd olika parametrar, t.ex. användarnamn, händelse-ID och domän, kan användas för att filtrera rapporten.