Dobrezov
Цитата:
Цитата:
буду гуглы мучитьтолько не забудь рассказать потом, чо вымучилось.. чисто для коллективного опыта.. =)
» ПРЕЖДЕ ЧЕМ ЗАДАТЬ ВОПРОС - БОЛЬШАЯ ПРОСЬБА - ПОИЩИТЕ!
TheBarmaley TMP
Обязательно. Я обычно отписываюсь о способе решения. Если нахожу, конечно.
Обязательно. Я обычно отписываюсь о способе решения. Если нахожу, конечно.
попробуй поискать как-то так.. 
во всяком случае, для твоей венды есть статья на технете..
галки, как понимаю, по аналогии с вышеописанными должны стоять..
во всяком случае, для твоей венды есть статья на технете..
галки, как понимаю, по аналогии с вышеописанными должны стоять..
TheBarmaley TMP
Спасибо! Почитаю.
Дело, мне кажется, в том, что у рабочей группы и домена - разные способы авторизации. Ладно, это так, мысли вслух набегу. Занимаюсь вопросом.
Спасибо! Почитаю.
Дело, мне кажется, в том, что у рабочей группы и домена - разные способы авторизации. Ладно, это так, мысли вслух набегу. Занимаюсь вопросом.
Dobrezov
у тебя подключение по рдп - в этом и фишка, там своё логирование должно быть..
у тебя подключение по рдп - в этом и фишка, там своё логирование должно быть..
Renua
дорогой ты наш писатель, на этой же странице - профильный топик - в шапке:
Цитата:
зыж
Цитата:
дорогой ты наш писатель, на этой же странице - профильный топик - в шапке:
Цитата:
Установка Miranda клиентам в доменелень было поискать, как понимаю.. =)
зыж
Цитата:
если вам не трудно, то удалите плиз первое сообщениеппц.. ну ты и наглый.. мало того - чужой топик грохнул, так ещё и пост ТС хочешь снести..
TheBarmaley TMP
спасибо за помощь!!!
спасибо за помощь!!!
Renua
TheBarmaley TMP
Рассказываю (результат промежуточный, я ещё не сдался):
Всё, что ниже - делалось локально на виртуальных машинах.
- Server 2003. По-умолчанию, без дополнительных движений, сразу после установки, отображает в журнале имя юзера (код там, кажись, 578(или 576) на вход).
- Server 2008R2 при тех-же условиях - нет, не отображает. После добавления ролей и настройки их в контексте проблемы (это я про галки в аудите везде-везде), в том числе и "Диспетчер шлюза удаленных рабочих столов" (к слову, её у меня на живой машине нет, не требовалось как-то до сих пор) - нет.
- Server 2012 - нет.
По другим ОС.
- XP - появляется после установки галок на "Успех-Отказ".
- Начиная с 7 и до 10 - нету имени Пользователя. Кругом-бегом (по секьюрити точно) - Н/Д. Только открыв конкретное событие можно посмотреть имя.
Рассказываю (результат промежуточный, я ещё не сдался):
Всё, что ниже - делалось локально на виртуальных машинах.
- Server 2003. По-умолчанию, без дополнительных движений, сразу после установки, отображает в журнале имя юзера (код там, кажись, 578(или 576) на вход).
- Server 2008R2 при тех-же условиях - нет, не отображает. После добавления ролей и настройки их в контексте проблемы (это я про галки в аудите везде-везде), в том числе и "Диспетчер шлюза удаленных рабочих столов" (к слову, её у меня на живой машине нет, не требовалось как-то до сих пор) - нет.
- Server 2012 - нет.
По другим ОС.
- XP - появляется после установки галок на "Успех-Отказ".
- Начиная с 7 и до 10 - нету имени Пользователя. Кругом-бегом (по секьюрити точно) - Н/Д. Только открыв конкретное событие можно посмотреть имя.
Dobrezov
Цитата:
сопссно, не зря у меня лично стойкое неприятие всего, шо свежее хр/2к3, ещё раз убедился..
вопчем, пасиба за "отчёт"..
Цитата:
Рассказываюясно.. опять мелкий софт баг в "фичу" превратил.. не, ну не уроды ли.. :/
сопссно, не зря у меня лично стойкое неприятие всего, шо свежее хр/2к3, ещё раз убедился..
вопчем, пасиба за "отчёт"..
TheBarmaley TMP
В-общем, вроде так можно победить:
Цитата:
Это я уже не осилю...
P.P.S. Взято отсюда:
http://stackoverflow.com/questions/147307/net-how-to-set-user-information-in-an-eventlog-entry
В-общем, вроде так можно победить:
Цитата:
You must import the plain old Win32 API ReportEvent function with a DLLImportAttribute.
You must also redeclare the function with the right types, as Platform Invoke Data Types says.
So
BOOL ReportEvent(
__in HANDLE hEventLog,
__in WORD wType,
__in WORD wCategory,
__in DWORD dwEventID,
__in PSID lpUserSid,
__in WORD wNumStrings,
__in DWORD dwDataSize,
__in LPCTSTR *lpStrings,
__in LPVOID lpRawData
);
becomes
[DllImport("Advapi32.dll", EntryPoint="ReportEventW", SetLastError=true,
CharSet=CharSet.Unicode)]
bool WriteEvent(
IntPtr hEventLog, //Where to find it ?
ushort wType,
ushort wCategory,
ulong dwEventID,
IntPtr lpUserSid, // We'll leave this struct alone, so just feed it a pointer
ushort wNumStrings,
ushort dwDataSize,
string[] lpStrings,
IntPtr lpRawData
);
Это я уже не осилю...
P.P.S. Взято отсюда:
http://stackoverflow.com/questions/147307/net-how-to-set-user-information-in-an-eventlog-entry
Dobrezov
Цитата:
вот тебе ещё один тип костылей для логирования входа/выхода..
Цитата:
вроде так можно победитьизвращаемся, значицца, помаленьку.. =)
вот тебе ещё один тип костылей для логирования входа/выхода..
TheBarmaley TMP
Я изначально упоминавшимся "костылём" немного добился нужного. Есть в Event Log Explorer возможность добавления отображения в главном окне пользовательских полей, в том числе и "user name". Ну, и как забуксовал в решении - пошёл программу ковырять по всем пунктам меню. Наковырял... )
Но, я имею таки риторический вопрос: нафига MS удобное - превращает в наоборот???.................
Я изначально упоминавшимся "костылём" немного добился нужного. Есть в Event Log Explorer возможность добавления отображения в главном окне пользовательских полей, в том числе и "user name". Ну, и как забуксовал в решении - пошёл программу ковырять по всем пунктам меню. Наковырял... )
Но, я имею таки риторический вопрос: нафига MS удобное - превращает в наоборот???.................
Dobrezov
Цитата:
Цитата:
нафига MS удобное - превращает в наоборот?Он просто все делает "Microsoft way " (по мелкософтовски).
..вопчем, да - верно в народе говорят - мастдай = он и есть.. =)
думаю, через какое-то время появится нормальное решение, не через .нет костыли и прямо "искаропки"..
допилят червонец со временем, будет нормальная ось.. менюшку вернули, сратые "плитки" фтопку.. )
думаю, через какое-то время появится нормальное решение, не через .нет костыли и прямо "искаропки"..
допилят червонец со временем, будет нормальная ось.. менюшку вернули, сратые "плитки" фтопку.. )
vlary
TheBarmaley TMP
В качестве побухтеть...
О каком развитии речь, если в качестве решения предлагается портировать API (в контексте данной проблемы) от предыдущих ОС? Я ту статью внимательно прочитал (в рамках своего понимания, конечно). Портировать предыдущее решение (от 2003\XP)... Попробовал-бы, конечно, да не разумею. Заменить дллки, зарегистрировать их - это понятно. А вот с этими строками - не понимаю я...
Что вообще происходит в 2008\7 и выше, как я понял:
- есть в журнале (конкретно по Безопасности сейчас речь) поле "Пользователь\User". Относится к добавляющему запись в журнал. Отображающее Н\Д как в главном окне, так и при раскрытии конкретного события. И есть поле "Имя пользователя\User name". Относящееся к имени входящего в систему (мой акцент на интересующем событии просто). Неотображающееся в главном окне, но показывающее реальное имя при раскрытии конкретного события.
Ну, и про фильтр: он работает по полю "Пользователь\User" и не работает по "Имя пользователя\User name".
Всё.
TheBarmaley TMP
В качестве побухтеть...
О каком развитии речь, если в качестве решения предлагается портировать API (в контексте данной проблемы) от предыдущих ОС? Я ту статью внимательно прочитал (в рамках своего понимания, конечно). Портировать предыдущее решение (от 2003\XP)... Попробовал-бы, конечно, да не разумею. Заменить дллки, зарегистрировать их - это понятно. А вот с этими строками - не понимаю я...
Что вообще происходит в 2008\7 и выше, как я понял:
- есть в журнале (конкретно по Безопасности сейчас речь) поле "Пользователь\User". Относится к добавляющему запись в журнал. Отображающее Н\Д как в главном окне, так и при раскрытии конкретного события. И есть поле "Имя пользователя\User name". Относящееся к имени входящего в систему (мой акцент на интересующем событии просто). Неотображающееся в главном окне, но показывающее реальное имя при раскрытии конкретного события.
Ну, и про фильтр: он работает по полю "Пользователь\User" и не работает по "Имя пользователя\User name".
Всё.
Dobrezov
да чё там, скажи уж проще - Лавров был прав.. и нащёт мелкософта тоже.. =))
в смысле шо мелкопрограммеры
да чё там, скажи уж проще - Лавров был прав.. и нащёт мелкософта тоже.. =))
в смысле шо мелкопрограммеры
TheBarmaley TMP
Как профан в вопросах программирования - промолчу... )
Как пользователь - согласен. )))
P.S. 2016 TR4 сейчас на виртуалке посмотрел в контексте вопроса. Н\Д...
Как профан в вопросах программирования - промолчу... )
Как пользователь - согласен. )))
P.S. 2016 TR4 сейчас на виртуалке посмотрел в контексте вопроса. Н\Д...
Dobrezov
Цитата:
одно непонятно - зачем/почему фичу выпилили.. экономят на буквах при записи логов, штоле..
Цитата:
посмотрел в контексте вопроса. Н\Д...ну дык я и говорю - Лавров был прав, очевидно жеж.. =))
одно непонятно - зачем/почему фичу выпилили.. экономят на буквах при записи логов, штоле..
Dobrezov
Может пригодиться:
По входам/выходам смотри Журнал: Microsoft-Windows-User Profile Service/Operational
Может пригодиться:
По входам/выходам смотри Журнал: Microsoft-Windows-User Profile Service/Operational
Stalkepok
Спасибо!
Я по этому журналу изначально не заморачивался (или зря не заморачивался и его подстроить под требования можно?). Сейчас поясню: большинство забивает на "Завершение сеанса". В лучшем случае жмякают на крестик и просто отключают сессию. А в этом журнале, как я понял, отображается именно вход в завершённую ранее сессию. В связи с этим, и более точные данные по входам в Безопасности.
Но, ещё раз, Спасибо! Странная какая-то проблема... На поверхности, что этот вопрос должен быть интересен и востребован. И как-то вот ... странно решаем.
P.S. Впрочем, TheBarmaley TMP симпатичный (и многое объясняющий) смайл тут опубликовал... )))
Спасибо!
Я по этому журналу изначально не заморачивался (или зря не заморачивался и его подстроить под требования можно?). Сейчас поясню: большинство забивает на "Завершение сеанса". В лучшем случае жмякают на крестик и просто отключают сессию. А в этом журнале, как я понял, отображается именно вход в завершённую ранее сессию. В связи с этим, и более точные данные по входам в Безопасности.
Но, ещё раз, Спасибо! Странная какая-то проблема... На поверхности, что этот вопрос должен быть интересен и востребован. И как-то вот ... странно решаем.
P.S. Впрочем, TheBarmaley TMP симпатичный (и многое объясняющий) смайл тут опубликовал... )))
Dobrezov
ещё бы в ГП надо пошариться - в отдельной веточке по службам терминалов, для продвинутой настройки рдп и тс..
там в конфиге компьютера есть куча настроек по сеансам, коих в самой оснастке нету..
ну и смайл, опять жеж, в связи с этим - m$ =
ещё бы в ГП надо пошариться - в отдельной веточке по службам терминалов, для продвинутой настройки рдп и тс..
там в конфиге компьютера есть куча настроек по сеансам, коих в самой оснастке нету..
ну и смайл, опять жеж, в связи с этим - m$ =
TheBarmaley TMP
Возвращаясь к началу. Задумался над твоими словами про RDP (у меня все подключения по нему). Скрипт Autoit сейчас до ума доводится.
Возвращаясь к началу. Задумался над твоими словами про RDP (у меня все подключения по нему). Скрипт Autoit сейчас до ума доводится.
TheBarmaley TMP
http://stranichko.org.ua/blog/programming/vbscript/tracking-attempts-of-rdp-connections/
Мне неудачные попытки отслеживать - совсем не нужно. Есть желание удалить-закомментировать строки на эти события.
Читать со строки:
Цитата:
P.S. Готово, счас посмотрю и отпишусь.
P.P.S. Со временем, за которое надо отчёт получить, непонятно пока.
http://stranichko.org.ua/blog/programming/vbscript/tracking-attempts-of-rdp-connections/
Мне неудачные попытки отслеживать - совсем не нужно. Есть желание удалить-закомментировать строки на эти события.
Читать со строки:
Цитата:
black1:
17.09.2013 в 15:45
P.S. Готово, счас посмотрю и отпишусь.
P.P.S. Со временем, за которое надо отчёт получить, непонятно пока.
Dobrezov
глянул.. ужосс.. это ж надо так мучиться.. мобыть, проще мастдай поменять на 2003, не?.. =))
глянул.. ужосс.. это ж надо так мучиться.. мобыть, проще мастдай поменять на 2003, не?.. =))
TheBarmaley TMP
Дык это... Проблема-то уже решена. Через костыль. ))) Сейчас уже так... Спортивный интерес.
Скрипт криво работает. Отлежится до завтра-послезавтра, мыслей не возникнет - плюну.
P.S. На 2003-2012-2016 - вообще никаких планов перехода. Работает и ладно. Текущие проблемы решать - по мере их поступления. Остальное - чур меня... )))
Дык это... Проблема-то уже решена. Через костыль. ))) Сейчас уже так... Спортивный интерес.
Скрипт криво работает. Отлежится до завтра-послезавтра, мыслей не возникнет - плюну.
P.S. На 2003-2012-2016 - вообще никаких планов перехода. Работает и ладно. Текущие проблемы решать - по мере их поступления. Остальное - чур меня... )))
Dobrezov
Цитата:
Цитата:
Проблема-то уже решена. Через костыльвот именно.. эхх.. видать, таков уж наш виндузятский удел..
Dobrezov
Журнал: TerminalServices-LocalSessionManager/Operational
События:
21 - Службы удаленных рабочих столов: Успешный вход в систему
23 - Службы удаленных рабочих столов: Успешный выход из сеанса
24 - Службы удаленных рабочих столов: Сеанс был отключен
25 - Службы удаленных рабочих столов: Успешное переподключение сеанса
Журнал: TerminalServices-LocalSessionManager/Operational
События:
21 - Службы удаленных рабочих столов: Успешный вход в систему
23 - Службы удаленных рабочих столов: Успешный выход из сеанса
24 - Службы удаленных рабочих столов: Сеанс был отключен
25 - Службы удаленных рабочих столов: Успешное переподключение сеанса
Stalkepok
Спасибо, но и там всё то-же самое. Пользователя* (добавляющего запись, в этом журнале это для всех - "система") - добавить можно. А имя пользователя* - только по открытию конкретного события. Соответветственно, и фильтр по именам пользователей - не работает.
* Считаю, что MS злостно троллит юзеров столь тонкими различиями в терминологии. )))
Спасибо, но и там всё то-же самое. Пользователя* (добавляющего запись, в этом журнале это для всех - "система") - добавить можно. А имя пользователя* - только по открытию конкретного события. Соответветственно, и фильтр по именам пользователей - не работает.
* Считаю, что MS злостно троллит юзеров столь тонкими различиями в терминологии. )))
Предыдущая тема: Проблема репликации
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.