名稱稽核原則:登入-登出:稽核登入
GPOComputer Settings
類別進階稽核原則\登入/登出
描述▪ 這個原則設定可稽核因電腦上的使用者帳戶登入嘗試而產生的事件
▪ 這個子類別中的事件是與建立登入工作階段有關,而且發生在被存取的電腦上。如果是互動式登入,則會在使用者帳戶登入的電腦上產生安全性稽核事件。如果是網路登入(如存取網路上的共用資料夾),則會在裝載資源的電腦上產生安全性稽核事件。包含下列事件: 成功登入嘗試、失敗登入嘗試、使用明確認證的登入嘗試
▪ 處理程序嘗試明確指定該帳戶的認證來登入帳戶時,會產生這個事件。這最常發生於批次登入設定(如排定的工作或使用RUNAS命令時)、已篩選安全性識別碼(SID) 且不允許其登入
▪ 用戶端版本的預設值: 成功
▪ 伺服器版本的預設值: 成功,失敗
設定1. 執行 gpedit.msc 打開本機群組原則編輯器
2. 選擇 [電腦設定\Windows 設定\安全性設定\進階稽核原則設定\稽核原則\原則\登入/登出]
3. 在右邊窗點擊 "稽核登入".
4. 勾選 [成功] [失敗] (GCB 設定值為 [成功] [失敗])