Histórico de log do Windows Server [fechado]

10

Eu estabeleci que alguém fez login na minha área de trabalho enquanto eu estava de férias; acredito que isso foi feito pelo nosso servidor pelo nosso administrador, mas não sei como. Não sou amigo de TI, mas tenho privilégios de administrador no meu servidor, portanto, antes de culpar a equipe de TI por acessar a minha área de trabalho, verificaria se ele estava conectado ao servidor durante o mesmo tempo que fora do horário de trabalho. Alguém pode me fornecer um processo passo a passo sobre como exibir logins anteriores no Server 2008

windows  windows-server-2008 
nadimo
fonte
"culpe a TI por acessar minha área de trabalho" - Você percebe que (a menos que você tenha isenções muito específicas) que fazer isso é simplesmente o trabalho deles?
HBruijn

Respostas:

12

Abra o Visualizador de eventos - pressione a tecla Windows, digite Visualizador de eventos e pressione Enter para abri-lo.

Navegue para a categoria Logs do Windows -> Segurança no visualizador de eventos.

Procure eventos com o ID de evento 4624 - eles representam eventos de login bem-sucedidos.

Role para baixo nos logs até o momento em que você acredita que ele fez login e dê uma olhada.

Você pode clicar duas vezes em qualquer log para abri-los, geralmente você verá a primeira linha:

"Uma conta foi conectada com sucesso."

Então várias outras linhas abaixo

"Novo logon:

ID de segurança: domínio \ usuário

Nome da conta: usuário "

Anthony Fornito
fonte
Observe que o OP está bloqueado se a auditoria não tiver sido definida antes do incidente. Por padrão, esse valor é definido como Sem auditoria no objeto de Diretiva de Grupo do Controlador de Domínio Padrão (GPO) e nas diretivas locais de estações de trabalho e servidores. ( technet.microsoft.com/en-us/library/cc976395.aspx )
yagmoth555
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.