Beschreibung
Diese Kurzbeschreibung soll die Schritte darstellen, wie Sie an einem Windows Client den "WINLOGON.LOG" aktivieren können.
Hintergrund; in der Ereignisanzeige ist die Event ID 1202 aufgetaucht. Dieses Ereignins soll die Anmeldung am Client anzeigen.
Schritte:
- Melden Sie sich mit administrativen Rechten am Client an.
- Öffnen Sie die Windows Registry.
- Wechseln Sie in das folgende Verzeichnis:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F79F83A} - Wählen Sie den folgenden REG-DWORD Schlüssel: ExtensionDebugLevel
- Ändern Sie den vorhandenen Wert 0 ab in: 2
- Öffnen Sie eine CMD und führen ein gpupdate /force aus.
Wenn Sie die oben genannten Schritte umgesetzt haben, können Sie im aktivierten WINLOGON.LOG die SID der User Accounts einsehen und anschließend ermitteln.
Bsp. via PowerShell:
Import-Module ActiveDirectory
Get-ADUser -Identity S-1-5-21-232029976-1651249474-311576647-2322
Quelle: https://www.cloudshark.nl/blog/2022/09/21/file-not-found-cwindowssecuritylogswinlogon-log/