偶爾會看見這樣的紀錄完全不知道是"從哪來"的登入紀錄
或是像這樣 只有帳戶卻沒有來源,找USER也只會能跟你說不知道都檢查過了
解決方法: 透過監聽封包的方式去判斷來源
微軟的工具軟體:
1.Microsoft Network Monitor
https://www.microsoft.com/en-us/download/details.aspx?id=4865
2.Microsoft NetworkMonitor Parsers
2.Microsoft NetworkMonitor Parsers
https://nmparsers.codeplex.com/releases
2個都要安裝,有可能需要重開機才可以運作
1.安裝後啟動 先注意select networks是否有抓到網卡
2.再來點一下 New capture tab,再來只要點一下Start就可以開始側錄網卡封包
右下角的地區是解析出來的封包內容,只要比對時間就可以找到封包的內容
但是要注意你的登入紀錄是在哪一台AD上面,搞錯AD是找不到紀錄的
主要找尋的內容是:1.時間 2.來源 3.帳戶
目的當然是你的AD(IP),可別照打了
找到MAC位置才是最重要的,請USER查詢他所有可能與AD認證的裝置
不管是電腦,平板,手機,或是非Windows 系統的PC,或是虛擬的OS都可能
如果真的USER找不到的話就把MAC給封鎖了吧,
一個自己都不知道的裝置用著自己的帳戶在跟AD認證這不是很奇怪嗎?
