In diesem Artikel wird erläutert, wie Sie die Überwachung von Anmeldeereignissen auf Ihren Windows-Endpunkten zulassen und einen CSV-Bericht über Anmeldeversuche erhalten, die zwischen zwei Daten aufgetreten sind.
Der Bericht zeigt die Erstellungszeit des Ereignisses, den Benutzernamen der Domäne und das Ergebnis des Anmeldeversuchs. Die drei Optionen für die Anmeldung sind: Interaktive Anmeldung erfolgreich, Fernanmeldung erfolgreich und Anmeldefehler.
Sie können die folgende Befehlszeile für die Auflistung der Überwachungsrichtlinieneinstellungen verwenden:
auditpol /get /category:*
Auch können Sie die Audit-Anmeldeereignisse aus der Ferne mit diesem Befehl aktivieren:
auditpol /set /subcategory:Logon /success:enable /failure:enable
Aktivierte Überwachungsprotokolle
1. Greifen Sie auf Ihren Windows-Endpunkt zu. Klicken Sie auf WinKey+R auf Ihrer Tastatur. Geben Sie gpedit.msc ein und klicken Sie auf OK.
2. Rufen Sie den folgenden Pfad auf: Computerkonfiguration > Windows Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Auditrichtlinie
3. Doppelklick auf Anmeldeereignisse prüfen.
4. Das Fenster mit der Bezeichnung Eigenschaften von Anmeldeereignissen prüfen. Markieren Sie die Kontrollkästchen Erfolg und Fehlschlag und klicken Sie auf OK.
Skript zur Überprüfung der Anmeldung klonen
1. Klicken Sie in der Verwaltung (auf der Seitenleiste) auf Scripts.
Die Seite Skripte erscheint
2. Gehen Sie zu Shared Script Library und suchen Sie nach dem Skript namens Login Audit (Sie können das Feld Skriptname verwenden, um die Ergebnisse zu filtern)
3. Klicken Sie auf Klonen, um das Skript zu kopieren. Meine Skripte.
Sie finden das Skript nun unter 'Meine Skripte' mit dem Namen 'Login Audit (Kopie)'.
4. Führen Sie das geklonte Skript auf Ihren Geräten aus, sehen Sie sich den Artikel Run a Script, um mehr zu erfahren. Sie erhalten eine neue .csv-Datei in dem Pfad, den Sie in $ResultFile wie unten angegeben gewählt haben.