Comment surveiller les connexions des utilisateurs dans un domaine

Audit Natif

1. Exécutez gpmc.msc → Créez un nouveau GPO → Modifiez-le : Allez dans "Configuration de l'ordinateur" → Stratégies → Paramètres Windows → Paramètres de sécurité → Configuration de la stratégie d'audit avancée → Stratégies d'audit → Ouverture/Fermeture de session :
   • Audit de connexion → Définir → Succès et échecs
2. Allez dans le journal des événements → Définir :
   • Taille maximale du journal de sécurité à 4 Go
   • Méthode de rétention pour le journal de sécurité à « Écraser les événements selon les besoins ».
3. Associez le nouveau GPO à l'OU avec des comptes d'ordinateurs : Allez dans "Gestion de stratégie de groupe" → cliquez droit sur l'OU défini → choisissez Associer un GPO existant → choisissez le GPO que vous avez créé.
4. Forcez la mise à jour de la stratégie de groupe : Dans "Group Policy Management" cliquez droit sur l'OU défini → cliquez sur "Group Policy Update".
5. Ouvrez l'Observateur d'événements et recherchez dans le journal de Sécurité l'identifiant d'événement 4648 (Audit de connexion).

Netwrix Auditor for Active Directory

1. Exécutez Netwrix Auditor → Allez dans "Rapports" → Développez la section "Active Directory" → Rendez-vous sur "Activité de connexion" → Sélectionnez "Connexions réussies" ou "Échecs de connexion" → Cliquez sur "Afficher".

Si vous souhaitez recevoir ce rapport par e-mail régulièrement, il vous suffit de choisir l'option "S'abonner" et de définir le calendrier et les destinataires.