É possível verificar os logins do Active Directory?

Você pode ativar a auditoria por meio da política de grupo, há opções para auditar logins bem-sucedidos e mal-sucedidos. Lembre-se de que, se você tiver mais de um DC, os logons poderão ser manipulados por qualquer um deles, portanto, um usuário poderá fazer login no DC 1 hoje e no DC 2 amanhã. Além disso, serviços, aplicativos e outras coisas produzem auditorias de login, por isso tendem a ficar um pouco confusas.

Você encontrará as auditorias no log de segurança no visualizador de eventos (nó de logs do Windows em 2008).

Se você tiver o log de eventos de logon no log de eventos de segurança ativado, será possível analisar o log de eventos procurando as tentativas de logon. Uma ferramenta útil para isso é Sysinternals PSLoglist.exe. , e você deve consultar os controladores de domínio e servidores de arquivos para atividade.

Existem vários IDs de evento 5xx e 6xx diferentes para você procurar. Você vai definir a linha de comando como:

psloglist.exe \domain_controller -d 1 -i 680<add more here> -s security

Você também pode usar uma consulta dsquery.exe filtrada para procurar atributos do usuário, como o horário do último logon.

A postagem acima está correta. Os DC's em um site terão entradas de log de eventos que representam os logons atendidos. Isso pode ser enganoso devido às razões que o post mencionou ... junto com alguns outros, como a renovação do tíquete Kerberos. Para realmente obter uma boa imagem, você também precisa dos logs de segurança de suas estações de trabalho. Isso pode ser uma dor. Se eles são XP, então eu iria lote e carregá-lo para o seu host de registro central durante as horas lentas. Se eles são Vista ou superior, você pode configurar o encaminhamento de eventos. Isso tem alguns pré-requisitos, mas provavelmente é a melhor opção.