O log de eventos do Windows Security rastreia isso, mas não é fácil extraí-lo da mangueira de incêndio. Os principais marcadores de um login LDAP:
- ID do evento: 4624
- SubjectUserSID: S-1-5-18
Os detalhes estarão ocultos nesses elementos XML:
- TargetUserName
- endereço_IP
Se você estiver visualizando as coisas na exibição de texto decodificada, os marcadores das teclas são:
- ID do evento: 4624
- Informações de rede - > Nome da Estação de Trabalho = nome do servidor LDAP
Os detalhes serão:
- Informações de rede - > Endereço de rede de origem
- Novo logon - > Nome da conta
A principal coisa que diferencia esses eventos de login dos eventos de login regulares é que os vínculos ldap estão entrando em vigor no TO domain controller em questão. É por isso que o campo "Nome da Estação de Trabalho" está preenchido.
Redigir a pesquisa para obter esses eventos será complicado.