Hora de Login / Logout

Excelente tu respuesta pero donde quedan registrados
esos inicios y cierres de sesion en que parte, en que
archivo o directorio Gracias

Si lo que quieres es registrar el inicio y fin de sesión,

lo puedes hacer por auditorías. En concreto la política
que activa la auditoría sobre inicio de sesión de los
usuarios es "Auditar sucesos de inicio de sesión de
cuenta" situada en "Configuración del equipo/Configuración
de Windows/Configuración de seguridad/Directivas
locales/Directiva de auditoría". Si estás en un dominio
debes activar esta directiva en "Default Domain
Controllers Policy", si estás en un grupo de trabajo,
tienes que hacer esto mismo en todos los equipos con el
editor de políticas del sistema (gpedit.msc). Cuando está
activada la auditoría "Auditar sucesos de inicio de sesión
de cuenta" no se registra nada con la política "Auditar
sucesos de inicio de sesión":

Audit logon events
http://www.microsoft.com/windows200...reskit/en-

us/default.asp?url=/windows2000/techinfo/reskit/en-
us/gp/518.asp

En este artículo fíjate que dice que "Auditar sucesos de

inicio de sesión de cuenta" registra los inicios y cierres
de sesión, mientras que "Auditar sucesos de inicio de
sesión" lo que registra son las validaciones que se hacen
al conectar a través de la red, etc. Es decir, interesa
más usar "Auditar sucesos de inicio de sesión de cuenta"
para registrar los inicios y cierres de sesión de los
usuarios:

Audit account logon events
http://www.microsoft.com/windows200...reskit/en-

us/default.asp?url=/windows2000/techinfo/reskit/en-
us/gp/515.asp

Si te parece que se originan demasiados sucesos, recuerda

que puedes filtrar los eventos, para así ver sólo aquellos
que te puedan interesar.

Cuando se activan auditorías, es recomendable que se

active la política "Apagar el sistema de inmediato si no
se puede registrar auditorías de seguridad", que está
en "Configuración del equipo/Configuración de
Windows/Configuración de seguridad/Directivas
locales/Opciones de seguridad". Esta política lo que hace,
es que cuando se llena el registro de sucesos de
seguridad, de forma que al hacer un intento de escribir un
suceso de seguridad no se pueda, el equipo hace shutdown y
sólo podrá iniciar sesión en el equipo un administrador,
para borrar el registro (guardándolo antes en un fichero,
claro). Para que este mecanismo funcione, en el visor de
sucesos tienes que hacer click derecho sobre "Seguridad",
propiedades, y en la pestaña seguridad seleccionar la
opción "No sobrescribir sucesos (borrado manual)"; quizás
te interese también hacer más grande el tamaño del
registro (que, como verás, de forma predeterminada es de
512 KB). Si estás en un dominio, todo esto lo puedes hacer
en "Default Domain Controllers Policy" con las directivas
que encontrarás en la rama "Configuración del
equipo/Configuración de Windows/Configuración de
seguridad/Registro de sucesos/Configuración para registros
de sucesos"; si estás en grupo de trabajo, deberás hacerlo
activando la política "Apagar el sistema de inmediato si
no se puede registrar auditorías de seguridad" con
gpedit.msc y configurando como te he dicho antes el
registro de sucesos de seguridad en el visor de sucesos.

Para revisar estas auditorás, si estás en un dominio

tienes que mirar el visor de sucesos de seguridad de los
controladores de dominio y si estás en un grupo de trabajo
lo tienes que mirar en cada equipo auditado.

Un saludo
Fernando Reyes [MS MVP]

(Acaba con mi soledad si quieres escribirme)

Visita news://marcmcoll.net cortesía de Marc Martínez Coll

"dumper" escribió en el mensaje
news:

Hola, quisiera saber si es posible conocer la hora de

conexión y

desconexión de un usuario del dominio a cualquier PC

del dominio.

¿Cómo podría hacerlo? o ¿Donde hay documentación al

respecto?

Gracias y un saludo,