Per verificare le informazioni relative ai logon riusciti, tentativi di accesso falliti e logoff degli account utente all'interno del dominio è possibile attivare l'audit sugli eventi di accesso:
- Avviare Gestione Criteri di gruppo.
- Espandere il dominio mycompany.local quindi cliccare, con il tasto destro del mouse, su Default Domain Policy e dal menu contestuale selezionare Modifica.
FIG 1 - Default Domain Policy - Posizionarsi su Configurazione computer -> Criteri -> Impostazioni di Windows -> Impostazioni sicurezza -> Criteri locali -> Criteri controllo ed eseguire un doppio click su Controlla eventi di accesso.
FIG 2 - Controlla eventi di accesso - Selezionare la casella Definisci le impostazioni relative ai criteri. Dato che ci interessa monitorare sia i logon riusciti che i tentativi falliti selezionare la casella Operazioni riuscite (già selezionata di default) e Operazioni non riuscite. Cliccare su OK per confermare l'attivazione.
FIG 3 - Attivazione controllo eventi di accesso
A questo punto tutti i logon, i tentativi di logon e i logoff degli utenti dalle postazioni del dominio verranno registrate. Provare ad eseguire il logon/logoff su una postazione del dominio quindi posizionarsi sul server e avviare il Visualizzatore eventi:
- Premere la combinazione di tasti WIN+R e nella finestra di dialogo Esegui digitare eventvwr seguito da Invio.
- Cliccare su Registri di Windows quindi su Sicurezza.
FIG 4 - Visualizzatore eventi, Registri di Windows - Dato che le informazioni in tale registro sono numerose è opportuno aiutarsi con la funzione trova o con un filtro per cercare l'informazioni di proprio interesse. Cliccare sul tasto Trova, digitare l'account che si intende verificare (ad es. giovanni.lubrano) e cliccare su Trova successivo. Si verrà posizionati sull'ultimo evento riguardante l'account specificato. In questo caso bisogna prestare attenzione agli eventi in cui il campo Categoria attività sia Logon o Logoff.
FIG 5 - Evento Logon utente