确定用户是否实际在域中注销 - Windows Active Directory
Determining if user is actually logged off in a domain - Windows Active Directory
我正在编写一个 windows 服务来监视域内的帐户登录和注销事件(Windows 2012)。登录事件 ID 为 4624,注销事件 ID 为 4634。但是我看到这两个事件成对出现,即事件 4624 紧接着事件 ID 4634。确定用户是否实际注销的方法应该是什么来自域中的机器?
注意:只对交互式登录会话感兴趣(不是网络、服务或其他)
您可能需要查看 event 4647,每当用户注销时都会记录该信息。如果您只对交互式会话感兴趣,您还应该将自己限制在 4624 事件中的相关登录类型(2、7、10、11)。
我正在编写一个 windows 服务来监视域内的帐户登录和注销事件(Windows 2012)。登录事件 ID 为 4624,注销事件 ID 为 4634。但是我看到这两个事件成对出现,即事件 4624 紧接着事件 ID 4634。确定用户是否实际注销的方法应该是什么来自域中的机器? 注意:只对交互式登录会话感兴趣(不是网络、服务或其他)
您可能需要查看 event 4647,每当用户注销时都会记录该信息。如果您只对交互式会话感兴趣,您还应该将自己限制在 4624 事件中的相关登录类型(2、7、10、11)。