2008 Active Directoryでログオン・ログオフ監査.sys - 3948番地[Microsoft Windows] 概要 実は、Active Directoryへのログオン・ログオフの監査は、監査ポリシーでは正確に記録することができない。 そもそも、「アカウントログオン」のポリシーしかないし、しかもこれはログオンを監査するのではなく、Kerberosの認証チケット発行イベントなので、ドメインへの実際のログオンタイミングとは違うものである。 一方「ログオンイベント・ログオフイベント」の監査の方は、対話型ログオン・ログオフに関わらず、マシンへのアクセスの際に生じる認証イベントをローカルマシン上に記録するものなので、Active Directory認証は関係ない。 そのため、正確にユーザーがドメインのコンピューターにログオン・ログオフしたことをイベントログに記録し集中管理するためには、ログオン・ログオフスクリプトを使うしかない、とのこと。 これはけっこう有名な話らしい。
