Die erste Frage aus Ihrem Titel "Wie wird festgestellt, wann sich ein Domain-Benutzer angemeldet hat" hängt davon ab, auf welcher Plattform sich der Benutzer anmeldet. Für Windows 2000 / XP / 2003 zeigt die Ereignis-ID 528 mit Anmeldetyp 2 interaktive Anmeldungen von einem lokalen oder Domänenkonto an. LogParser ist ein großartiges Tool zum Parsen der Ereignisprotokolle von einer großen Anzahl von Computern und unterstützt eine große Anzahl von Ausgaben. So können Sie beispielsweise das Sicherheitsprotokoll auf einem Remotecomputer abfragen und in eine tabulatorgetrennte Datei ausgeben:
c:>logparser.exe "select TimeGenerated, SID from \\wksname\Security where EventID = 528" -i EVT -resolveSIDs:ON -q:ON -headers:off -o:TSV >> c:\UserLogons.txt
Das Abfragen von Ereignissen aus den Sicherheitsprotokollen unter Windows Vista / 2008/7 unterscheidet sich geringfügig darin, dass sich das Protokolldateiformat sowie die Ereignis-IDs geändert haben. Die Ereignis-ID 4624 mit Anmeldetyp 2 zeigt erfolgreiche interaktive Anmeldungen an. Wir können das wevtutil verwenden , um ähnliche Daten abzufragen und im XML-Format auszugeben:
c:>wevtutil qe Security /q:"*[System[Provider[@Name='Microsoft-Windows-Security-Auditing'] and Task=12544 and (EventID=4624)] and EventData[Data[@Name='LogonType']='2']]" /e:Events > c:\UserLogons.xml
So wird die Ereignis-ID 540 in Ihren Sicherheitsereignisprotokollen auf Ihrem Domänencontroller angezeigt:
Ereignis 540 wird aus verschiedenen Gründen protokolliert. So könnte beispielsweise die Ereignis-ID 540 mit dem Anmeldetyp 3 angezeigt werden, wenn der Serverdienst auf eine gemeinsam genutzte Ressource zugreift. Hier sind die Anmeldetypen für diese von Microsoft bereitgestellte Ereignis-ID:
2 Interaktiv Ein Benutzer, der an der Konsole an diesem Computer angemeldet ist.
3 Netzwerk Ein Benutzer oder Computer, der vom Netzwerk an diesem Computer angemeldet ist.
4 Charge Batch-Anmeldetyp wird von Batch-Servern verwendet, auf denen Prozesse möglicherweise im Auftrag eines Benutzers ausgeführt werden, ohne dass der Benutzer direkt eingreift.
5 Service Ein Service wurde vom Service Control Manager gestartet.
7 Entsperren Diese Workstation wurde entsperrt.
8 NetworkCleartext Ein Benutzer, der in einem Netzwerk angemeldet ist. Das Kennwort des Benutzers wurde in unverfälschter Form an das Authentifizierungspaket übergeben. Die integrierten Authentifizierungspakete enthalten alle Hash-Anmeldeinformationen, bevor sie über das Netzwerk gesendet werden. Die Anmeldeinformationen durchlaufen das Netzwerk nicht im Klartext (auch als Klartext bezeichnet).
9 NewCredentials Ein Anrufer hat sein aktuelles Token geklont und neue Anmeldeinformationen für ausgehende Verbindungen angegeben. Die neue Anmeldesitzung hat dieselbe lokale Identität, verwendet jedoch andere Anmeldeinformationen für andere Netzwerkverbindungen.
10 RemoteInteractive Ein Benutzer, der sich über Terminaldienste oder eine Remotedesktopverbindung remote an diesem Computer angemeldet hat.
11 CachedInteractive Ein Benutzer, der an diesem Computer mit Netzwerkanmeldeinformationen angemeldet ist, die lokal auf dem Computer gespeichert wurden. Der Domänencontroller wurde nicht kontaktiert, um die Anmeldeinformationen zu überprüfen.
Fröhliches Jagen.