我有一个用户帐户一直被锁定。我想找出是什么原因造成的。所以我想在事件查看器中启用失败审计作为开始。但是,我不知道怎么办!
如何启用审核失败,使其显示在 Windows 日志 > 安全下的 DC 事件查看器中?
到目前为止我已经完成的步骤:
- 在 DC 中,转到组策略管理编辑器 > 默认域策略(链接)> 计算机配置 > 策略 > Windows 设置 > 安全设置 > 本地策略 > 审核策略
- 将审核帐户登录事件、目录服务访问、登录事件设置为“失败”。帐户管理已设置为“成功,失败”。
- 在 DC 中,启动命令提示符,键入 gpupdate。
事件日志仍然只显示审核成功,即使每隔几分钟左右可以检查我的用户帐户是否有错误密码计数。
在“默认域控制器”策略上执行此操作以应用于 DC
注意,在Win2008 server及以上版本,需要使用GPO中的“Advanced Audit Policy Configuration”选项。看截图:
是的,您需要编辑默认域控制器策略,否则您需要创建新的 GPO 并将其链接到域控制器 OU。以这两种方式中的任何一种完成后,您需要观看用户帐户管理事件
4740 - 锁定。
4767 - 解锁。
请参阅这篇文章http://www.morgantechspace.com/2013/08/how-to-enable-active-directory-change.html了解如何在活动目录中启用审计
以及完整的事件 ID 列表http://www.morgantechspace.com/2013/08/active-directory-change-audit-events.html
事实上,如果您需要在 Active Directory 中启用/禁用审计,您需要更改默认域控制器的策略,而不是域策略。这是因为审核是在 DC 上完成的,并且它是管理 DC 上策略的默认域控制器策略。
取决于您的 AD 功能级别。对于 Windows 2003 Ad 功能级别,必须按照 @Jake 所说的那样配置审计策略,这些是基本审计策略。对于 Windows 2008 或更高版本,您已经拥有基本审计策略,而 Microsfot 添加了更复杂/细化的审计风格(高级高级安全审计策略。
正如@Kombaiah M 所说,
小心启用基本和高级审核策略,因为您会得到不可预知的结果(特殊注意事项)。
要识别用户锁定的帐户,您应该记住事件 ID 因 AD 功能级别而异。正如@Kombaiah M 指出的那样,w2k8 的事件 ID 是
如果您仍然有 w2k3 域控制器,则事件 ID 与上述不同:
用户帐户被锁定
用户帐户已解锁
这里有一个非常有趣的文档视频:关于高级审计配置的审计与高级审计配置。
您可以使用 Microsoft 锁定状态工具http://www.microsoft.com/en-gb/download/confirmation.aspx?id=15201来帮助识别哪个 AD 服务器正在记录错误的密码尝试,这应该有助于缩小范围!