Как отслеживать место последней авторизации пользователя в домене?

Question

[Иван]

Сейчас у нас самописный софт при логоне от прав пользователя пишет в ExtentionAttribute пользователя место откуда был произведен вход. Работает в 90% случаев. Иногда некоторые машины в домене по неизвестной причине не могут записать. Есть подозрения на АВПО и его конфликты с сетевым оборудованием. Но это другая история.
Хотелось бы покрыть и остальные 10%, которые часто бывают важны.
Как еще можно организовать такое отслеживание? Может организовать SQL базу куда при логоне будет производится такая же запись как и в атрибут пользователя? Кто как решал такие задачи?

Comments

[Максим Гришин]

Я видел скрипт, который в файл такие данные пихал, в каталоге, который лежал на DFS и на котором права позволяли creator owner менять файлы, а domain users - создавать файлы. Атрибуты тоже заполнялись. А ваш скрипт из-под какой учетки работает?

[Иван]

Максим Гришин, из под прав залогиненого пользователя. Всем пользователям делегированы права на запись в свои атрибуты.
Насчет системы записи в файл, тоже думал об этом. Какая-нибудь шара, в которую скрипт пишет \\share\%username%\%computername% + %time%.txt например. И пусть эти файлы плодятся. Об очистке можно позже подумать.

[LoGIc89]

Вам необходимо узнать на какой рабочей станции был произведен вход в систему? А вариант с аудитом пробовали? Грубо говоря включаете аудит через групповые политики, а далее все события пересылаете на сервер, на котором централизованно собираете все события (он же Event Log Collector). Немного муторно с настройками, но тем менее далее из центрального журнала события хоть в SQL, хоть Powershell'ом обрабатывать.