[W2K8] Inlog tijden/machines, etc achterhalen van gebruikers

Een account logon event wordt weggeschreven in het eventlog van de machine waarop wordt ingelogd. Nergens anders. Het is in Vista en W7 mogelijk om alleen deze events door te sturen naar een server zodat je daar een log bij kunt houden van wie/wanneer enz. In een gemixte omgeving (W7, XP en een 2003 terminal server) is dat niet handig.

Uiteindelijk heb ik het volgende inlogscript aan de OU met gebruikers gehangen.
echo logon, %username%, %computer%, %date%, %time% >> \[servernaam]\usershare\log\inlog.txt

En het volgende uitlogscript.
echo logoff, %username%, %computer%, %date%, %time% >> \[servernaam]\usershare\log\uitlog.txt

De komma's moeten ervoor zorgen dat het geheel makkelijk in Excel in te lezen en te filteren is.

hans_lenze schreef op donderdag 10 juni 2010 @ 17:17:
Een account logon event wordt weggeschreven in het eventlog van de machine waarop wordt ingelogd. Nergens anders. Het is in Vista en W7 mogelijk om alleen deze events door te sturen naar een server zodat je daar een log bij kunt houden van wie/wanneer enz. In een gemixte omgeving (W7, XP en een 2003 terminal server) is dat niet handig.

Uiteindelijk heb ik het volgende inlogscript aan de OU met gebruikers gehangen.
echo logon, %username%, %computer%, %date%, %time% >> \[servernaam]\usershare\log\inlog.txt

En het volgende uitlogscript.
echo logoff, %username%, %computer%, %date%, %time% >> \[servernaam]\usershare\log\uitlog.txt

De komma's moeten ervoor zorgen dat het geheel makkelijk in Excel in te lezen en te filteren is.

Log jij ook wanneer een computer aan gegaan is? Want wat nu als een computer crashed aan het einde van de dag en de gebruiker niet uitlogd dus?

Hiernaast zijn er vele dingen te vinden op het internet hier over plus dat er ergens al een topic hier op het forum staat waarin tools zijn beschreven. Heb je zelf al gezocht mbv google? http://www.google.nl/sear...official&client=firefox-a

Die info wordt vanaf (ik geloof) 2008 in de AD weggezet, kan ook zijn dat het al in 2003 zat.
Geen uitgebreide historie, maar je zou elke edit van die property wellicht kunnen afvangen met een filter op je eventlogs: Property heet "LastLogon". Er bestaat er ook eentje badPasswordTime waarmee je kan zien wanneer de gebruiker voor het laatst met een fout password inlogde.

[ Voor 5% gewijzigd door sanfranjake op 10-06-2010 18:48 ]

PeeCee schreef op donderdag 10 juni 2010 @ 17:25:
[...]
Log jij ook wanneer een computer aan gegaan is? Want wat nu als een computer crashed aan het einde van de dag en de gebruiker niet uitlogd dus?

Ik log niets. Ik maak het voor het management mogelijk om bepaalde gegevens te achterhalen. Wat mij betreft had ik dit nooit geklust. Maar ach, ik betaal mijn eigen salaris niet...

De property lastlogon is inderdaad handig. Als er ook een lastlogoff en lastmachine was had ik het nooit in elkaar gescript maar auditing op de properties gezet. Nu is alles op één en dezelfde manier ingericht zodat het management het ook nog snapt.

Sowieso zou ik wat meer user-loggin willen doen op welke programma's ze draaien of welke acties of settings ze zetten op mappen, etc... lastige kwestie!

Files rechten zijn te traceren, welke programma's ze draaien is ook te doen.

De property lastlogon is inderdaad handig.

Alleen jammer dat die per domain controller wordt bij gehouden. Dus bij meerdere domain controllers, moet je ze allemaal checken.

Hou er ook rekening mee, dat dit misschien wel eens met de de Wet Op de Privacy kan botsen. Wat je wil en wat je mag zijn 2 verschillende aspecten hierin.

[ Voor 35% gewijzigd door Rolfie op 11-06-2010 10:26 ]

Verwijderd schreef op donderdag 10 juni 2010 @ 17:24:
Ik denk voor de toekomst ook aan een dergelijke log zoals je beschijft.

Het is opzich best gek dat die logging minimaal is in dergelijke OS-en... zou default al goed geregeld moeten zijn zou je zeggen.

Ex-squeeze me?

je kan heel goed loggen via je auditing en consolideren van je eventlogs - desnoods met extra readers die alles naar een SQL DB toe trappen zodat je op je gemak alles uit kan filteren.
Je kan het net zo gek maken als je wil, alle eventID's die ook maar iets met logons te maken hebben zijn bekend en terug te herleiden op een network logon (zijnde een benadering van een fileshare), een console logon enzovoort.

Je krijgt er ook nog eens gratis alle content bij die je maar wil hebben: werkstation naam, IP adres, account waarmee ingelogd is, of iemand alternate credentials opgeeft.


De reden dat dit niet standaard aan staat is dat mensen niet weten wat ze met al die gegevens uberhaupt kunnen doen. Het is dus ook zuiver om de hoeveelheid support calls niet de spuigaten uit te laten lopen.
Meer niet.

[ Voor 10% gewijzigd door alt-92 op 11-06-2010 12:29 ]

De reden dat dit niet standaard aan staat is dat mensen niet weten wat ze met al die gegevens uberhaupt kunnen doen. Het is dus ook zuiver om de hoeveelheid support calls niet de spuigaten uit te laten lopen.
Meer niet.

Je mag het als beheerder zelf aanzetten: je krijgt een toolbox van hier tot Tokio en terug, maar je moet het wel zelf doen.
Lijkt net *nix

je kunt ook een extra TAB in AD installeren. Je ziet dan de last logon en last logoff.
Ook bad password count en dergelijke.
Dit gaat via "Account lockout tools" ff zoeken op google en dan downloaden en registreren door het voglende
regsrv32 Acctinfo.dll