iT邦幫忙

0

[Windows7/10][事件檢視]哪一個EventID代表因AD Logon Hours所觸發的使用限制?

敝公司的AD (Windows Server 2003) domain user帳號有設定Logon Hours,舉例:從早上八點到晚上八點,星期一到星期五是可以允許使用者登入電腦(Windows 7/10)並使用網路磁碟機的。

當過了Logon Hours設定的時間(上述例子為晚上八點),無法繼續使用的通知被觸發,通知帳號使用者無法繼續使用網路磁碟機或遠端連線了。

現在有一個需求是,需要IT這裡記錄終端電腦裡:

  1. 何時有收到AD所觸發的這個事件(過了Logon Hours的使用時間),想請問,這樣的觸發其EventID為何? 是在安全性還是系統中找到?
  2. 以上述舉例,假設當晚上八點之後,用戶仍繼續使用電腦而未關機,到十點才登出關閉電腦回家,這時候該要記錄下來該用戶登出的時間,請問該從哪一個EventID來判斷? ,或是,亦同時也要參考其他的data值(例如:LogonType)才能確定是哪一個event的時間?

感謝~~

1 個回答

0
jeles51
iT邦新手 2 級 ‧ 2019-02-26 11:07:27

您好,相關資訊如下:
• Logon – 4624 (An account was successfully logged on)
• Logoff – 4647 (User initiated logoff)
• Startup – 6005 (The Event log service was started)
• RDP Session Reconnect – 4778 (A session was reconnected to a Window Station)
• RDP Session Disconnect – 4779 (A session was disconnected from a Window Station)
• Locked – 4800 (The workstation was locked)
• Unlocked – 4801 (The workstation was unlocked)

參考來源: 這裡

yenct iT邦新手 5 級 ‧ 2019-02-26 16:29:05 檢舉

您好,謝謝分享。
目前透過EvenID 像是4634/4647,似乎無法分辨是因為使用者自行登出,還是因為AD LogonHours過期而登出。

我要發表回答

立即登入回答