Come scoprire chi ha effettuato l'accesso al computer

Il monitoraggio dell'accesso e della disconnessione degli utenti del dominio può fornire all'organizzazione dati utili sui dipendenti come presenze, orari di lavoro, pause e altro ancora. Un altro motivo per cui è necessario monitorare l'orario di accesso è la sicurezza dell'organizzazione. Gli amministratori di sistema possono utilizzare i dati di accesso e disconnessione per prevenire potenziali attacchi informatici interni all'organizzazione rilevando attività insolite come l'accesso prolungato durante l'orario non lavorativo o l'attività di accesso quando il dipendente è ammalato.

Di seguito è riportato un confronto tra il controllo delle attività di accesso e disconnessione degli utenti di dominio utilizzando strumenti di controllo nativi e ADAudit Plus di ManageEngine, una soluzione completa di controllo di Active Directory in tempo reale.

Scarica GRATIS

Prova gratuita e completamente funzionante di 30 giorni

Con il controllo AD nativo
Con ADAudit Plus

Segui i passaggi 1 e 2 indicati nella sezione di controllo nativa per attivare il criterio di controllo e abilitare il controllo accesso-disconnessione.
Accedi alla console web di ADAudit Plus come amministratore.
Fai clic sulla scheda Reports. Dalla sezione Local logon-logoff nel riquadro di sinistra, seleziona il report Logon Activity.
Il report Logon Activity in ADAudit Plus mostra i tentativi di accesso, insieme al nome utente, all'ora di accesso, al nome della workstation, al tipo di accesso, tra gli altri.
Ecco alcune delle limitazioni alla generazione di un report sull'attività di accesso in Active Directory utilizzando metodi di controllo nativi:
1. Ogni controller di dominio mostra un orario di accesso diverso a causa della mancata replica dei dati.
2. Riuscire ad ottenere i dati necessari quando ne sono disponibili molti è un processo complesso.
3. È difficile generare il report per diversi fusi orari e formati di data.
Con ADAudit Plus, ottenere report sull'attività di accesso in Active Directory in pochi clic è facile e il risultato viene visualizzato in un'interfaccia utente semplice e intuitiva.

Passaggio 1: abilita il criterio di controllo
Apri Server Manager sul server Windows.
Nella scheda Manage, apri la console Gestione Criteri di gruppo.
Vai a Foresta -> Dominio -> Il tuo dominio -> Controller di dominio.
Puoi modificare un oggetto criteri di gruppo esistente o crearne uno nuovo.
In Modifica Criteri di gruppo, vai a Configurazione computer -> Criteri -> Impostazioni di Windows -> Impostazioni di sicurezza -> Criteri locali -> Criteri controllo.
In Criteri controllo, seleziona "Controlla eventi di accesso" e abilita i controlli "Operazioni riuscite" e "Operazioni non riuscite".
Passaggio 2: abilita accesso-disconnessione
Torna a Configurazione computer. Vai a Impostazioni di Windows -> Impostazioni di sicurezza -> Configurazione avanzata dei criteri di controllo -> Criteri controllo -> Accesso/fine sessione.
Qui abilita il controllo di successo e errore per Audit Logon, Audit Logoff e Audit Special Logon.
Apri la console di Gestione Criteri di gruppo e seleziona l'oggetto Criteri di gruppo modificato o creato. In Security Filtering, aggiungi gli utenti i cui accessi devono essere tracciati. Puoi anche scegliere di controllare l'accesso di ogni utente del dominio selezionando All users. Per controllare un gruppo di utenti del dominio, è possibile aggiungere il/i gruppo/i specifico/i.
Passaggio 3: usa il Visualizzatore eventi di Active Directory per controllare i registri
Apri Visualizzatore eventi e vai a Registri di Windows -> Sicurezza.
Cerca gli ID evento 4624 (l'account è stato connesso), 4634 (l'account è stato disconnesso), 4647 (disconnessione avviata dall'utente), 4672 (accesso speciale), 4800 (la workstation era bloccata) e 4801 (la workstation è stata sbloccata).
Fai clic su Filtro registro corrente sul lato destro per filtrare i registri in base agli ID evento o all'intervallo di tempo per il quale sono richieste le informazioni.

Il controllo nativo è un po' troppo?

Semplifica il controllo e la creazione di report dei gruppi di distribuzione con ADAudit Plus.

Scaricalo gratuitamente Versione di prova di 30 giorni completamente funzionante

Con il controllo AD nativo
Con ADAudit Plus

Segui i passaggi 1 e 2 indicati nella sezione di controllo nativa per attivare il criterio di controllo e abilitare il controllo accesso-disconnessione.
Accedi alla console web di ADAudit Plus come amministratore.
Fai clic sulla scheda Reports. Dalla sezione Local logon-logoff nel riquadro di sinistra, seleziona il report Logon Activity.
Il report Logon Activity in ADAudit Plus mostra i tentativi di accesso, insieme al nome utente, all'ora di accesso, al nome della workstation, al tipo di accesso, tra gli altri.
Ecco alcune delle limitazioni alla generazione di un report sull'attività di accesso in Active Directory utilizzando metodi di controllo nativi:
1. Ogni controller di dominio mostra un orario di accesso diverso a causa della mancata replica dei dati.
2. Riuscire ad ottenere i dati necessari quando ne sono disponibili molti è un processo complesso.
3. È difficile generare il report per diversi fusi orari e formati di data.
Con ADAudit Plus, ottenere report sull'attività di accesso in Active Directory in pochi clic è facile e il risultato viene visualizzato in un'interfaccia utente semplice e intuitiva.

Passaggio 1: abilita il criterio di controllo
Apri Server Manager sul server Windows.
Nella scheda Manage, apri la console Gestione Criteri di gruppo.
Vai a Foresta -> Dominio -> Il tuo dominio -> Controller di dominio.
Puoi modificare un oggetto criteri di gruppo esistente o crearne uno nuovo.
In Modifica Criteri di gruppo, vai a Configurazione computer -> Criteri -> Impostazioni di Windows -> Impostazioni di sicurezza -> Criteri locali -> Criteri controllo.
In Criteri controllo, seleziona "Controlla eventi di accesso" e abilita i controlli "Operazioni riuscite" e "Operazioni non riuscite".
Passaggio 2: abilita accesso-disconnessione
Torna a Configurazione computer. Vai a Impostazioni di Windows -> Impostazioni di sicurezza -> Configurazione avanzata dei criteri di controllo -> Criteri controllo -> Accesso/fine sessione.
Qui abilita il controllo di successo e errore per Audit Logon, Audit Logoff e Audit Special Logon.
Apri la console di Gestione Criteri di gruppo e seleziona l'oggetto Criteri di gruppo modificato o creato. In Security Filtering, aggiungi gli utenti i cui accessi devono essere tracciati. Puoi anche scegliere di controllare l'accesso di ogni utente del dominio selezionando All users. Per controllare un gruppo di utenti del dominio, è possibile aggiungere il/i gruppo/i specifico/i.
Passaggio 3: usa il Visualizzatore eventi di Active Directory per controllare i registri
Apri Visualizzatore eventi e vai a Registri di Windows -> Sicurezza.
Cerca gli ID evento 4624 (l'account è stato connesso), 4634 (l'account è stato disconnesso), 4647 (disconnessione avviata dall'utente), 4672 (accesso speciale), 4800 (la workstation era bloccata) e 4801 (la workstation è stata sbloccata).
Fai clic su Filtro registro corrente sul lato destro per filtrare i registri in base agli ID evento o all'intervallo di tempo per il quale sono richieste le informazioni.

Il controllo nativo è un po' troppo?

Semplifica il controllo e la creazione di report dei gruppi di distribuzione con ADAudit Plus.

Scaricalo gratuitamente Versione di prova di 30 giorni completamente funzionante

Richiedere supporto

Grazie!

I nostri tecnici dell'assistenza ti ricontatteranno al più presto.

Inserire un indirizzo email valido

Cliccando 'invia richiesta' accetti l’elaborazione dei propri dati personali secondo l’Informativa sulla privacy.

Come scoprire chi ha effettuato l'accesso al computer

Con il controllo AD nativo

Con ADAudit Plus

Passaggio 1: abilita il criterio di controllo

Passaggio 2: abilita accesso-disconnessione