бігти
Аудитор → Перейдіть до «Звітів» → Відкрийте «Active Directory» → Перейдіть до «Дії входу» → Залежно від того, які події входу ви хочете переглянути, виберіть «Успішні входи», «Невдалі входи» або «Усі дії входу» → Натисніть « Переглянути».
Щоб відстежувати зміни облікового запису користувача в Active Directory, відкрийте «Перегляд подій Windows» і перейдіть до «Журнали Windows» ➔ «Безпека». Скористайтеся опцією «Фільтрувати поточний журнал» на правій панелі, щоб знайти відповідні події. показує створення облікового запису користувача. показує, що обліковий запис користувача було ввімкнено.
Щоб перевірити історію входу користувача в Active Directory, увімкніть аудит, виконавши наведені нижче дії.
- 1 Запустіть gpmc. …
- 2 Створіть новий GPO.
- 3 Натисніть «Редагувати» та перейдіть до «Конфігурація комп’ютера» > «Політики» > «Параметри Windows» > «Параметри безпеки» > «Розширена конфігурація політики аудиту» > «Політика аудиту».
Існують різні методи моніторингу та керування діяльністю користувачів, наприклад:
- Відеозаписи сесій.
- Збір та аналіз журналів.
- Перевірка мережевих пакетів.
- Журнал натискань клавіш.
- Моніторинг ядра.
- Захоплення файлів/скріншотів.
Особливо корисно для перегляду того, коли пароль користувача було скинуто востаннє або якщо його термін дії минув.
- Крок 1: Відкрийте командний рядок.
- Крок 2: введіть: net user %username% /domain. Введіть ім’я користувача точно так, як воно вказано в AD. …
- Крок 3: натисніть Enter і перегляньте результати. 12 спецій.
Аудит Active Directory зберігає відомості про історію входу користувача в журнали подій на контролерах домену. Таким чином, найпростіший спосіб отримання входу користувачів — відфільтрувати всі події безпеки в засобі перегляду подій Windows і знайти обліковий запис цільового користувача та тип входу.