我正在编写一个 Windows 服务,它监视域中的帐户登录和注销事件(Windows 2012)。登录事件 id 是 4624,注销事件 id 是 4634。但是我看到这两个事件成对出现,即事件 4624 紧跟事件 id 4634。确定用户是否实际注销的方法应该是什么从域中的机器?注意:只对交互式登录会话感兴趣(不是网络、服务或其他)
问问题
365 次
1 回答
1
您可能想查看事件 4647,该事件会在用户注销时记录。如果您只对交互式会话感兴趣,那么您还应该在 4624 事件中将自己限制为相关的登录类型(2、7、10、11)。
于 2016-09-14T10:44:53.040 回答