Active Directory Voir Les Utilisateurs Connectés
À quoi sert-il? Et si la prise d'alimentation de l'ordinateur venait à être débranchée alors qu'un utilisateur est connecté? Comment saurions-nous quand cet événement a eu lieu? Ce n'est certes pas une donnée idéale, mais c'est la seule date/heure dont nous disposons pour indiquer quand cela s'est produit. Une fois rassemblés tous ces identifiants, nous devons associer l'événement de début de session à l'événement de fin de session le plus proche. Mais si plusieurs utilisateurs se sont connectés à un même ordinateur? Pour les différencier, nous pouvons utiliser le champ ID de connexion. Active Directory | Obtenir la liste des ordinateurs et utilisateurs qui ne sont plus actifs. Il s'agit d'un champ unique pour chaque session de connexion. Si nous arrivons à trouver une heure de début de session, puis l'heure de fin de session suivante avec le même ID de connexion dans le journal des événements, nous connaissons la durée totale de la session de cet utilisateur. Dans cet exemple, vous pouvez voir que le compte LAB\Administrator s'est connecté (ID 4624) le 27/8/2015 à 17h28 avec l'ID de connexion 0x146FF6.
Active Directory | Obtenir La Liste Des Ordinateurs Et Utilisateurs Qui Ne Sont Plus Actifs
Les échecs de connexion successifs dans la période de temps choisie sont signalés. Ce rapport fournit aux administrateurs des informations sur d'éventuelles attaques sur des comptes vulnérables. Ces informations sont enregistrées lors d'un échec de connexion et les raisons de chaque échec sont également rapportées. Les raisons d'un échec de connexion peuvent être un nom d'utilisateur incorrect ou un mauvais mot de passe. Certaines raisons nécessitent l'attention d'un administrateur comme "un mot de passe expiré", "un compte désactivé/expiré/verrouillé" ou "un mot de passe qui doit être réinitialisé par l'administrateur". D'autres raisons comme "une restriction du temps de connexion", "un nouveau compte qui n'a pas encore été répliqué" ou "un ordinateur en pré-W2K" et "l'heure sur le poste de travail pas encore synchronisée avec celle des contrôleurs de domaine" sont également signalées. Une représentation graphique du nombre d'échecs de connexion en fonction des raisons possibles d'échec aide les administrateurs à prendre des décisions rapides et à administrer efficacement.
J'ai ensuite consulté les messages suivants du journal des événements jusqu'à ce que je trouve un événement de fin de session (ID 4634) affichant le même ID de connexion, à 17h30 le même jour. Connaissant cet ID de connexion, j'ai pu déduire que le compte LAB\Administrator s'était connecté pendant environ trois minutes. Ceci n'est qu'une brève illustration de scénarios réels de connexion/déconnexion. Vous constaterez que lorsque vous examinez un ordinateur « dans la vraie vie », vous ne pouvez pas toujours vous appuyer sur les événements de connexion/déconnexion pour trouver la durée des sessions utilisateur. Plusieurs scénarios peuvent survenir; un utilisateur peut par exemple verrouiller son ordinateur puis revenir le déverrouiller. Le courant a pu être coupé alors que son ordinateur était verrouillé. Il n'y a alors pas d'événement de déverrouillage, seulement un événement de démarrage. Ce sont les aléas que vous devez surveiller pour pouvoir déterminer avec précision l'historique des sessions utilisateur.