Протоколирование входа/выхода в систему в Active Directory

Question

[Michael Lobey]

Всем привет.

Есть домен Active Directory на Windows Server 2003 R2 SP2. Возможно ли в протоколировать logon/logoff пользователей, причём, желательно, в наглядном виде, чтобы руководитель сам мог посмотреть, кто и во сколько начинает и заканчивает работу? А если кто-то оставил включенным компьютер и не разлогинивался (или даже не блокировал компьютер), мы можем узнать, когда он начал работу?

Answer 1

[amc]

Не решайте административных проблем техническими средствами.
Успешный логон в 8:01 и логоф в 17:59 не гарантирует сидения в одноклассниках весь день.
Да и простенькая ип-камера с сервером видеозаписи в 3000-5000 рублей обойдётся (у нас Trendnet трудится на похожем назначении, софт в комплекте умеет писать архив).

Ну а если уж хочется поизгаляться, то:
1) на вход и выход из системы поставить скрипт (можно хоть echo %username% %computername% %time% %date% logged on >> \\servername\share\logon.txt )
2) во время работы можно получить залогиненых пользователей на рабочих станциях, можно скриптом через WMI, например PowerShell'ом, можно воспользоваться www.softperfect.com/products/networkscanner/

Answer 2

[Николай Турнавиотов]

На каждом контроллере домена — свой лог, поэтому проще и правильнее всего
написать PowerShell скрипт который будет писать в один общий лог файл где-то на сетевой шаре от системы события кто где вошел в консоли в сеть и кто где и когда дал команду выхода/перезагрузки/выключения.
Вторым скрипом написать простенький парсер с подсчётом разницы по времени.

Но это не отменяет того, что, например, техподдержка за день может залогиниться на не одном десятке машин и скрипт, повешенный через GPO на событие входа в систему будет отрабатывать на всех машинах домена.

А заодно єто не отменяет того, что например, на моей прошлой работе несмотря на все запреты половина машин в домене в главном офисе включалась в понедельник утром и выключалась(ли?) в пятницу вечером, а рабочие станции половины сотрудников ИТ департамента перезагружались только при применении очередных обновлений на сервере WSUS.

Выше уже сказали, что это не отменяет того, что толку от того, включил пользователь свой пк в 8-59 и выключил в 18-01 он не будет заниматься всякой фигней на любимом сайте/пасьянсе и прочее.

А системы учёта рабочего времени логичнее делать на проходной,

Answer 3

[jov]

Ну логи входа/выхода доступны «из коробки» в контроллере домена Active Directory. А вот насчёт начала «работы», не всё так просто. Например можно взять какой-нибудь кейлогер и пускай он пишет логи на какой-нибудь сетевой диск.

Comments

[Michael Lobey]

Спасибо!
Как-то примерно — я это себе так и представлял. Но существуют ли кейлоггеры, которые способны логгировать именно время начала/последнего_сеанса работы? Не хотелось бы подключать руководителю сетевую папку с полными логами клавиатуры пользователей: о). Руководитель — не айтишник, т.е. просмотреть/отфильтровать журнал событий — ему не подойдёт. Можете бросить пару названий кейлоггеров? Никогда с подобным софтом не сталкивался, опыта пока 0. Да и не хотелось бы сильно расширять его в эту сторону, настроить бы только это.

[jov]

если настроен переход в спящий режим, то можно попробовать поместить вот такой скрипт(vbs) в автозагрузку

Set WshShell = WScript.CreateObject("WScript.Shell")
Set FileSys = CreateObject("Scripting.FileSystemObject") 
Set email = CreateObject("CDO.Message")
With email.Configuration.Fields
    .Item("http://schemas.microsoft.com/cdo/configuration/sendusing") = 2
    .Item("http://schemas.microsoft.com/cdo/configuration/smtpserver") _
        = "mail.localnet"
    .Update
End With

email.From = "robot@mycompany.ru"
email.To = "admins@mycompany.ru"

Set wshNetwork = WScript.CreateObject("WScript.Network")
Set colMonitoredEvents = GetObject("winmgmts:")._
ExecNotificationQuery("Select * from Win32_PowerManagementEvent")
Do
Set objLatestEvent = colMonitoredEvents.NextEvent
If objLatestEvent.EventType = 7 Then

email.Subject = wshNetwork.ComputerName & " включен в" & Date
email.Textbody = ""
email.TextBodyPart.charset = "koi8-r"
email.Send
End If
Loop

Это компиляция скриптов найденных гуглом. Извините, проверить сейчас не могу, нет windows под рукой. Я думаю направление движения мысли понятно.

[jov]

думаю добавить условие на время отправки письма руководителю было бы не лишним, а то его ящик будет захлёбываться после обеденного перерыва)))

[Michael Lobey]

Эх, спящий режим не очень бы хотелось использовать. Да и, главное, мы не увидим, когда пользователь ушёл домой :(

[jov]

Всё мы увидим, просто заменив проверкуobjLatestEvent.EventType = 7 на objLatestEvent.EventType = 4 согласно офф.документации