Beschreibung

Diese Kurzbeschreibung soll die Schritte darstellen, wie Sie an einem Windows Client den "WINLOGON.LOG" aktivieren können.

Hintergrund; in der Ereignisanzeige ist die Event ID 1202 aufgetaucht. Dieses Ereignins soll die Anmeldung am Client anzeigen.

Schritte:

1. Melden Sie sich mit administrativen Rechten am Client an.
2. Öffnen Sie die Windows Registry.
3. Wechseln Sie in das folgende Verzeichnis:
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F79F83A}
4. Wählen Sie den folgenden REG-DWORD Schlüssel: ExtensionDebugLevel
5. Ändern Sie den vorhandenen Wert 0 ab in: 2
6. Öffnen Sie eine CMD und führen ein gpupdate /force aus.

Wenn Sie die oben genannten Schritte umgesetzt haben, können Sie im aktivierten WINLOGON.LOG die SID der User Accounts einsehen und anschließend ermitteln.

Bsp. via PowerShell:
Import-Module ActiveDirectory
Get-ADUser -Identity S-1-5-21-232029976-1651249474-311576647-2322

Quelle: https://www.cloudshark.nl/blog/2022/09/21/file-not-found-cwindowssecuritylogswinlogon-log/