Historia dziennika systemu Windows Server [zamknięte]

10

Ustaliłem, że ktoś był zalogowany na moim pulpicie, kiedy byłem na wakacjach, wydaje mi się, że zrobiono to za pośrednictwem naszego serwera od naszego administratora, ale nie jestem pewien, jak to zrobić. Nie jestem przyjazny IT, ale mam uprawnienia administratora na moim serwerze, więc pomyślałem, że zanim obwinię IT za dostęp do mojego pulpitu, sprawdzę, czy był zalogowany na serwerze w tym samym czasie, co w godzinach wolnych od pracy. Czy ktoś może mi zapewnić krok po kroku proces przeglądania poprzednich logowań na serwerze 2008

windows  windows-server-2008 
nadimo
źródło
„obwiniaj IT za dostęp do mojego pulpitu” - Zdajesz sobie sprawę, że (chyba że masz bardzo szczególne wyjątki), że robienie tego jest po prostu ich zadaniem?
HBruijn,

Odpowiedzi:

12

Otwórz Podgląd zdarzeń - naciśnij klawisz Windows, wpisz Podgląd zdarzeń i naciśnij Enter, aby go otworzyć.

Przejdź do Dzienników systemu Windows -> Kategoria Bezpieczeństwo w przeglądarce zdarzeń.

Wyszukaj zdarzenia o identyfikatorze zdarzenia 4624 - reprezentują one udane logowanie.

Przewiń dzienniki do czasu, w którym uważasz, że się zalogował i spójrz.

Możesz dwukrotnie kliknąć dowolny dziennik, aby je otworzyć, zwykle zobaczysz pierwszy wiersz:

„Konto zostało pomyślnie zalogowane.”

Potem jeszcze kilka linii w dół

„Nowe logowanie:

Identyfikator bezpieczeństwa: domena \ użytkownik

Nazwa konta: użytkownik ”

Anthony Fornito
źródło
Należy pamiętać, że OP jest zablokowany, jeśli przed incydentem nie ustawiono audytu. Domyślnie ta wartość jest ustawiona na Brak kontroli w obiekcie zasad grupy Domyślny kontroler domeny (GPO) oraz w lokalnych zasadach stacji roboczych i serwerów. ( technet.microsoft.com/en-us/library/cc976395.aspx )
yagmoth555
Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.