Parece que isso não pode ser feito.
Nada é registrado nos DCs quando um usuário efetua logoff, além das sessões de rede fechadas (mas elas podem ser fechadas a qualquer momento, não apenas após os logoffs).
Estou trabalhando em um aplicativo para rastrear eventos de logon / logoff do usuário da rede em um domínio do Active Directory; o aplicativo funcionará pela auditoria de logs de segurança em controladores de domínio.
A auditoria de eventos de logon pode ser um pouco complicada, mas pode ser feita com sucesso.
Meu problema: como posso acompanhar eventos logoff ?
Com base em algumas pesquisas que fiz, parece que esses eventos são registrados apenas localmente em estações de trabalho, mas não em DCs; Além disso, o atributo "lastLogoff" existe em objetos de usuário AD, mas não é realmente usado por ninguém.
Esta é uma pergunta muito específica: algo está registrado em DCs quando um usuário faz logoff de uma estação de trabalho de domínio?
Para esclarecer: não estou interessado em outros métodos de auditoria, não consigo implantar scripts de logon / logoff e não consigo instalar nada em lugar algum; Eu também sei que sessões de rede abertas e fechadas são registradas, mas isso não é o que eu estou procurando. Eu preciso auditar logons e logoffs interativos para estações de trabalho de domínio, e posso fazer isso lendo apenas os logs de segurança dos controladores de domínio; ler os logs de eventos locais de cada estação de trabalho está fora de questão.
Se isso não puder ser feito, tudo bem; mas eu preciso de uma resposta clara sobre isso.
Você está correto, eles não estão conectados aos seus DC's. No entanto, acredito (mas não sou positivo) que, se a sua auditoria for alta o suficiente nos DCs, um evento será registrado quando alguém desconectar uma unidade de rede. Portanto, se você estiver mapeando unidades para seus usuários, poderá rastrear seus logoffs, mas procurar esse evento 'dismount'. Mesmo assim, não tenho certeza se gostaria de contar com isso. Você disse que não pode implantar scripts, mas estou apenas mencionando isso caso você já esteja em seu ambiente.