我有一个帐户一直被锁定(域帐户)。
我可以看到上次错误登录发生的时间以及错误登录计数 = 5。我想要确定的是导致错误登录的机器的 IP 地址。
我怎样才能发现这一点?
答案1
首先,需要启用登录失败审核。实际上,我始终将其放在强制默认域策略中,但您至少应该将其应用于域控制器。该条目称为审核帐户登录事件,出于某种原因,它仅默认记录成功。有关此设置的信息可从 Microsoft 获取在 Technet 上。
一旦启用该功能,处理登录的域控制器的安全日志应包含必要的信息。具体来说,检查登录/注销事件的失败审核。用户名应该是一个名为“用户”的列,您可以根据该列进行排序/过滤以简化搜索。