如何在 Active Directory 中查看用户登录历史?

📅 发布时间:2026/7/3 0:56:44 👁️ 浏览次数:
如何在 Active Directory 中查看用户登录历史?
要全面了解 Active Directory 用户的登录活动首先需要启用登录审计然后通过事件查看器、PowerShell 或专业审计工具如 ADAudit Plus查看安全事件日志中的关键事件 ID例如成功登录4624和失败登录4625。一、要查看Active Directory用户登录历史请按照以下步骤启用审计运行 gpmc.msc 打开组策略管理控制台。创建一个新的 GPO。编辑 GPO导航到计算机配置 策略 Windows 设置 安全设置 高级审计策略配置 审计策略。在登录 / 注销部分审计登录勾选成功和失败・审计注销勾选成功・审核其他登录 / 注销事件勾选成功在账户登录部分审计 Kerberos 认证服务勾选成功和失败要将新的GPO与你的域名关联请右键点击你的域名。选择“链接现有的GPO”然后选择你创建的GPO。默认情况下组策略每 90 分钟自动更新一次。如需立即生效可运行gpupdate /force二、如何在事件查看器中查看登录事件启用审计后所有登录相关事件都会记录在 Windows 日志 安全 中。常见登录事件 ID 如下4624账户成功登录4634账户被登出4647用户主动登出4625登录失败这些事件默认记录在用户登录的本地计算机上。若只需监控域环境中的登录活动可在域控制器上查看以下事件4768Kerberos TGT 请求表示用户凭据验证成功4771Kerberos 预认证失败表示登录尝试失败登录 ID 可用于关联登录与注销事件从而分析用户的登录时长。三、原生审计方法的局限性及更高效的解决方案虽然 Windows 原生审计可以记录登录事件但在实际使用中存在以下局限本地登录和注销事件仅保存在终端设备不会自动同步到域控制器域控制器无法区分登录类型如交互式、远程桌面、网络登录等域控制器不记录注销事件无法准确统计登录时长需要从多台设备手动收集日志管理复杂且效率低那么如果有更简单的方法来审计登录活动呢像ADAudit Plus这样的工具会审计特定的登录事件以及当前和过去的登录活动提供所有登录相关变更的列表。ADAudit Plus 能够自动收集并整合所有登录事件提供直观的报告包括用户登录历史域控制器登录历史Windows 服务器登录历史工作站登录历史其网页界面支持图表、统计分析和自定义报告使管理员能够快速掌握谁在何时、从何地登录了系统。此外ADAudit Plus 还提供文件审计、权限变更监控、合规报告SOX、HIPAA、GDPR 等、攻击检测与响应自动化等功能是企业实现全面 IT 审计与安全合规的一站式平台。