Vizualizați utilizatorii care se conectează la Windows Server

Vizualizați utilizatorii care se conectează la Windows Server | Microsoft 2025
Vizualizați utilizatorii care se conectează la Windows Server | Microsoft 2025

Una dintre cele mai importante probleme pe care trebuie să le avem în vedere în calitate de administratori este securitatea serverelor și echipamentelor noastre, asigurarea celor care au acces la ele și îngrijirea ce privilegii au în ele. Se poate întâmpla ca un utilizator, din întâmplare sau nu, să facă modificări la diferiți parametri ai serverului și la fel cum pot exista modificări care nu afectează performanța și stabilitatea sistemului, alte modificări pot afecta în mod semnificativ securitatea, confidențialitatea și performanța Windows Server 2016 și, la rândul său, acest lucru aduce probleme grave care pot duce chiar la probleme juridice.

Pe lângă realizarea copiilor de rezervă, una dintre cele mai bune practici pe care le putem realiza ca administratori, manageri IT și, în general, ca personal de sisteme este implementați o politică de audit care ne permite să monitorizăm ce utilizatori sunt conectați la Windows Server 2016 (Sau versiunile anterioare ale W.Server) și în acest fel pentru a putea analiza dacă eșecurile sistemului coincid cu autentificarea unui alt utilizator decât cele autorizate. Vom analiza modul în care putem implementa această politică într-un mediu Windows Server 2016.

1. Setările politicii de audit


Primul pas pe care trebuie să îl facem pentru a ne crea politica de audit va fi să intrați în Consola de gestionare a politicilor de grup sau Consola de gestionare a politicilor de grup, pentru aceasta vom folosi combinația de taste:

Apăsăm introduce sau Bine și vom vedea următoarea fereastră:

Fiind în Consola GPO ne vom mișca după cum urmează: 

 Pădure / Domenii / Nuestro_Dominio / Controlere de domeniu / Politică implicită de controlere de domeniu

Vom da faceți clic dreapta pe Politica implicită a controlerelor de domeniu și selectăm Editați | × Pentru a intra în editorul de politici de grup, vom vedea următorul mediu:

Acolo trebuie să mergem la următorul traseu:

  • Configurare computer
  • Politici
  • Setări Windows
  • Setări de securitate
  • Configurare avansată a politicii de audit
  • Politici de audit

MARI

[color = rgb (169,169,169)] Faceți clic pe imagine pentru a mări [/ color]

În acest fel am intrat în Opțiunea Logare / Deconectare și ar trebui permite auditarea pentru aceste acțiuni, astfel încât atunci când un utilizator se conectează, acestea vor fi înregistrate în vizualizatorul de evenimente, astfel încât ulterior să poată intra și efectua analiza corespunzătoare. După cum vedem partea potrivită, avem o serie de opțiuni, dar trebuie să edităm următoarele:

  • Deconectare audit
  • Conectare audit
  • Auditează alte evenimente de conectare / deconectare

Aceste trei (3) opțiuni ne vor oferi informații detaliate despre:

  • Conectări la sesiune
  • Închiderea sesiunii
  • Blocarea echipamentului
  • Conexiuni prin desktop la distanță
  • Etc.

Doar faceți dublu clic pe cele trei (3) opțiuni și activați caseta Configurați următoarele evenimente de audit și verificați cele două opțiuni disponibile (Succes -Satisfăcător Da Eșec - Greșit) pentru a păstra controlul complet asupra evenimentelor de conectare și deconectare în Windows Server 2016.

Apăsăm aplica și ulterior Bine pentru a salva modificările.

2. Analizează vizualizatorul de evenimente


Odată ce am configurat corect acești parametri, vom intra în vizualizatorul de evenimente pentru a analiza evenimentele respective.

Conectare și deconectare evenimente de auditAcum, ID-urile evenimentelor pe care trebuie să le avem în vedere pentru a le monitoriza sunt următoarele:

  • 4624: Logare (eveniment de securitate)
  • 4647: Deconectare (eveniment de securitate)
  • 6005: Pornire sistem (eveniment sistem)
  • 4778: Conectarea la un RDP - Desktop la distanță (eveniment de securitate)
  • 4779: Deconectare de la RDP - Desktop la distanță (eveniment de securitate)
  • 4800: Blocarea echipamentului (eveniment de securitate)
  • 4801: Deblocarea echipamentului (eveniment de securitate)

Vom putea accesați vizualizatorul de evenimente folosind oricare dintre următoarele opțiuni:

  • Faceți clic dreapta pe pictograma Start MARI

    [color = rgb (169,169,169)] Faceți clic pe imagine pentru a mări [/ color]

    Pentru a revizui evenimentele menționate anterior vom selecta opțiunea Securitate din fila Jurnalele Windows:

    MARI

    [color = rgb (169,169,169)] Faceți clic pe imagine pentru a mări [/ color]

    În continuare vom da faceți clic pe opțiunea Filtrare jurnal curent pentru a putea filtra după ID-ul evenimentului. Trebuie să introducem ID-ul sau ID-urile pe care dorim să le validăm, pur și simplu introducem valoarea (în acest exemplu 4624) în câmpul Enter ID:

    Apăsăm Bine și vom vedea următorul rezultat:

    MARI

    [color = # a9a9a9] Faceți clic pe imagine pentru a mări [/ color]

    Acolo putem selecta oricare dintre evenimente pentru a analiza toate informațiile dvs.:

    Putem vedea în partea superioară utilizatorul care s-a conectat, domeniul în care s-a conectat și alți parametri, în partea inferioară putem vedea tipul auditului, data și ora evenimentului, descrierea evenimentului și alte aspecte.

    Pe aici am creat o politică de audit la nivel de autentificare și deconectare ceea ce ne va permite să realizăm o gestionare totală și în orice moment despre ce utilizatori și când s-au conectat la Windows Server 2016 și de acolo să determine dacă a existat vreo modificare a sistemului.

wave wave wave wave wave

Posturi Populare

wave
1
post-title
▷ Cum se SCHIMBĂ EXTINDEREA unui fișier Windows 10
2
post-title
Cum se remediază eroarea 0x80070490 în Windows 10
3
post-title
▷ Dezactivați TELEMETRY Windows 10 2021 ✔️
4
post-title
▷ Dezactivați oprirea automată a Windows 10 - ANULARE
5
post-title
Cum să importați sau să exportați date din Chrome în Firefox Quantum

Recomandat

wave
- Sponsored Ad -

Alegerea Editorului

wave
- Sponsored Ad -