История журнала Windows Server [закрыто]

Закрыто. Этот вопрос не по теме . В настоящее время он не принимает ответы.

Хотите улучшить этот вопрос? Обновите вопрос, чтобы он соответствовал теме отказа сервера.

Закрыто 3 года назад .

Я установил, что кто-то вошел в мой рабочий стол, когда я был в отпуске, я думаю, что это было сделано через наш сервер от нашего администратора, но я не уверен, как. Я не дружу с ИТ, но у меня есть привилегии администратора на моем сервере, поэтому я решил, прежде чем обвинить ИТ в доступе к моему рабочему столу, я бы посмотрел, был ли он зарегистрирован на сервере в то же время, что и в нерабочее время. Может ли кто-нибудь предоставить мне пошаговый процесс просмотра предыдущих входов в систему на Server 2008?

windows windows-server-2008

— nadimo
источник

«обвиняете ИТ в доступе к моему рабочему столу» - вы понимаете, что (если у вас нет особых исключений), что делать это просто их работа?

— HBruijn

Откройте «Просмотр событий» - нажмите клавишу Windows, введите «Просмотр событий» и нажмите Enter, чтобы открыть его.

Перейдите к категории Журналы Windows -> Категория безопасности в окне просмотра событий.

Найдите события с идентификатором 4624 - они представляют собой успешные события входа в систему.

Прокрутите вниз в журналах время, когда вы считаете, что он вошел в систему и посмотрите.

Вы можете дважды щелкнуть по любому журналу, чтобы открыть их, обычно вы увидите первую строку:

«Аккаунт был успешно авторизован».

Затем еще несколько строк вниз

"Новый вход в систему:

Идентификатор безопасности: домен \ пользователь

Имя учетной записи: пользователь "

— Энтони Форнито
источник

Обратите внимание, что OP застревает, если аудит не был установлен до инцидента. По умолчанию это значение установлено как Нет аудита в объекте групповой политики контроллера домена по умолчанию (GPO) и в локальных политиках рабочих станций и серверов. ( technet.microsoft.com/en-us/library/cc976395.aspx )

— yagmoth555