Как определить logon\logoff пользователя в домене на Контроллере Домена
 

Необходимо определить вход\выход пользователя в домен на Контроллере Домена. Далее будет скрипт который при авторизации пользователя будет отсылать определенный данные на другую машину

Audit account logon events - только нужно мониторить все контроллеры домена.

PS: Если Вы опишете задачу, которая перед Вами стоит, то, возможно, Вам смогут порекомендовать конкретное решение.

Ну на данном этапе пока разобрался что для авторизации лучше всего обрабатывать событие 672 что благополучно и делаю.
Теперь пытаюсь определиться с с событием выхода из системы. Задача следующая: на КД необходимо написать перехватчик авторизаций который будет запрашивать из сообщения об успешной авторизации логин пользователя а по нему определять список групп в которые входит пользователь. По выходу будет передавать в определенный скрипт логин пользователя и параметр logout.

в групповую политику два скрипта - на вход в систему и выход из системы. В скриптах прописать запись какого либо текста куда либо(например, запись "%username% log on to @computername% at %time%" - и кидать эти логи в файл \\server\share\%username%.txt. Вот и простейший мониторинг входа-выхода.

Хм... так делал(раньше так и работало), только задача стоит перехватывать именно на контроллере домена и никаких сценариев входа/выхода из системы. ((((( Со входом вроде разобрался... до выхода пока руки не дошли как доберусь отпишусь в теме, может еще кто дельного чего предложит...

Если знаком с программированием, то можно написать мааалюсенькую программку, которая при закрытии будет писать в лог данные. Программу можно будет кинуть в автозагрузку. на C# примерно так:

Когда будет выключаться машина или выходить из системы, код сработает и запишет, что надо.

FreedomF2000, а если пользователи выдернул сетевой провод из компьютера?! - получилось, что компьютер работал пока билет Kerberosa валиден... а то и круглосуточная работа намечается :)

PS: Вы зачем вообще такое делаете? - мониторите работу пользователей? Если да - то лучше это делать на рабочей станции, а не на контроллере домена. Ведь мониторинг контроллера в основном позволяет глобально решать вопросы безопасности (аудит доступа к учетной записи) + аудит получения прав доступа (билета доступа) на другие сервера...

Да я бы такого никогда не делал но начальство оно и в африке начальство... Половина софта написана нашими программистами и проходит авторизацию через VPN. Внедрение новой системы управления требует ввести домен и отказатся от VPN. Но для работы программ необходима авторизации... Вот задачу и поставили... Короче задачу усложнили до того что событие обработки журналов должно происходить только при авторизации пользователя а не по таймеру. Короче использовать перехват API функций системной службы Windows. В общем до понедельника задача снята... Всем спасибо....

То есть скрипт должен выглядеть так:

?
В расширении .bat его добавлять в автозагрузку/выход из системы?
Права на папку \\server\share\ у пользователей должны быть полные или хватит системы?

У пользователей должны быть как минимум права на создание и запись в файл. «Система» — для другого раздела GP (запуск/завершение работы).