我的团队使用虚拟 Windows Server 2008 来存储我们的代码存储库。我们都使用共享用户帐户登录。IT 部门要求我们保持密码输入错误时自动锁定帐户的开启状态。
帐户经常会因为这个原因被锁定。
是否有日志或其他可以启用来跟踪登录的东西尝试?我很想获得这些尝试的主机名,甚至是 IP 地址,以便我们能够追踪是谁遇到了此系统问题。我们确实拥有虚拟机的管理员访问权限。
先发制人我知道使用共享用户帐户并不是推荐的做法,但我们只能使用该系统。
答案1
Server 2008 已启用登录/注销审核(2000 和 2003 中未启用),因此已有安全事件日志条目显示这些内容。您要查找的事件日志 ID 是 4625(登录失败)和 4740(锁定)。这些事件中的数据应显示登录来源的 IP 地址或计算机名称。