Auditer un utilisateur ...

[picodon]

Bonjour,

je souhaite mettre en place un audit pour les logins d'un utilisateur spécifique (afin de tracer ses accès au système) ... je sais que par défaut 2003 audite toutes les réussite/échec mais je l'ai désactivé car l'observateur d'évènements se remplissait trop vite (et pas besoin de cette info) ...

Est-il possible donc d'auditer ces infos juste pour UN SEUL utilisateur ? (je pensais à mettre ça dans l'AD sur l'objet User/onglet sécurité/paramètres avancés/audit/ et ensuite ...?)

Merci d'avance !

[le-novice]

tu peux auditer comme tu dis les entrees echec et reussite sur la partie Securité et tu filtres la vue pour n afficher que les logs concernant ton user voulant etre audité.

[picodon]

merci de la réponse ... je peux avoir des détails sur les étapes ?

Merci !

[le-novice]

tu actives par exemple l audit des ouvertures de session + connexion au compte et ainsi sur ton observateur tu trouveras des logs concernant tous les users ayant eu des connexions sur ton domaine, tu fais bouton droit sur Sécurité puis nouvel affichage ==>tu le verra cree en dessous ==> tu cliques bouton droit puis proprietes et tu passe au 2 ieme onglet, tu choisis ton utilisateur sur la partie jutilisateur et comme ca tu verra que les audits faits sur ton user;

j espere que c clair sinon A disposition

[picodon]

merci des explications, c'est très clair
par contre, comme je l'ai précisé, je ne veux pas tout auditer puis ensuite filtrer juste mon utilisateur ... je veux juste auditer cet utilisateur ...

je pensais donc mettre en place un audit des évènements relatifs à l'ouverture/fermeture de sessions au niveau de l'objet utilisateur dans AD :
Propriétés User/Sécurité/Paramètres avancés/Audit - ajouter - [mon.user] ... mais là je ne sais plus quoi choisir (onglet objet ou propriétés, puis quoi auditer) ?

De plus, si l'utilisateur est déjà connecté et verrouille sa session, l'audit va t'il créer une entrée lors du déverrouillage de session ou simplement à la connexion/déconnexion ?

Merci d'avance !

[le-novice]

si tu actives les audits que je t ai cite il les cree

A toi de faire un test

[picodon]

je vais tester et voir le résultat ...

par contre, est-ce-que tu sais si une reconnexion suite à un verrouillage de session est audité ?

[bill252]

tu actives par exemple l audit des ouvertures de session + connexion au compte et ainsi sur ton observateur tu trouveras des logs concernant tous les users ayant eu des connexions sur ton domaine, tu fais bouton droit sur Sécurité puis nouvel affichage ==>tu le verra cree en dessous ==> tu cliques bouton droit puis proprietes et tu passe au 2 ieme onglet, tu choisis ton utilisateur sur la partie jutilisateur et comme ca tu verra que les audits faits sur ton user;

j espere que c clair sinon A disposition

je voudrais juste ça parrait interressant le sujet ou puis je activé l'audit des ouverture es ce dans gestion de l'ordinateur> observateur d'evenement ou quelque part d'autres. j'ai essayer de faire le test mais je trouve pas la fenetre du propriete de securite nouvelle affichage(j'ai parametre par defaut) et plus bas effecer le journal. merci pour l'orientation.
En gros j'ai le meme cas que l'autre mais moi je voudrais que cela soit pour tous les users du domaine. puis je savoir si c'est possible d'integrer un message au cas ou un utilisateur est en retard quéil reçoit un mgbox on lui informons qu(='il est en retard.

Merci

[picodon]

La gestion des audits se fait soit par GPO ou par la Stratégie locale du contrôleur de domaine ... à toi de voir ce que tu préfères !

Attention car si tu as de nombreux utilisateurs, ton observateur d'évènements va vite se remplir

[bill252]

Oui mais je veux mettre un quota pour le fichier securite de l'observateur d'evenement, Merci pour le chemin