Willkommen bei SCHROETER|EDV
headerimage

Beschreibung

Diese Kurzbeschreibung soll die Schritte darstellen, wie Sie an einem Windows Client den "WINLOGON.LOG" aktivieren können.

Hintergrund; in der Ereignisanzeige ist die Event ID 1202 aufgetaucht. Dieses Ereignins soll die Anmeldung am Client anzeigen.


Schritte:

  1. Melden Sie sich mit administrativen Rechten am Client an.
  2. Öffnen Sie die Windows Registry.
  3. Wechseln Sie in das folgende Verzeichnis:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F79F83A}
  4. Wählen Sie den folgenden REG-DWORD Schlüssel: ExtensionDebugLevel
  5. Ändern Sie den vorhandenen Wert 0 ab in: 2
  6. Öffnen Sie eine CMD und führen ein gpupdate /force aus.

 

Wenn Sie die oben genannten Schritte umgesetzt haben, können Sie im aktivierten WINLOGON.LOG die SID der User Accounts einsehen und anschließend ermitteln.

Bsp. via PowerShell:
Import-Module ActiveDirectory
Get-ADUser -Identity S-1-5-21-232029976-1651249474-311576647-2322

 


Quelle: https://www.cloudshark.nl/blog/2022/09/21/file-not-found-cwindowssecuritylogswinlogon-log/

Inhaltsverzeichnis

nach oben