使用一些 AD 审计工具,我注意到
匿名登录
例如 badPwdCount 和 badPasswordTime 具有相同的前后值。
如果实际上没有改变任何事情,那么为什么会发生这种“变化”呢?
答案1
有什么变化?或者您只是在日志中看到匿名登录事件?
匿名账户用于执行多项涉及查询域外信息的任务。微软表示:
运行 Windows 2000 之前的 Windows 版本的某些服务使用匿名访问从域控制器请求用户帐户信息并列出文件服务器和工作站上的网络共享。
当跨林单向信任关系的信任域中的管理员需要列出另一个林的受信任域中的用户和共享时,您可能还需要允许匿名访问。
更多内容请访问http://technet.microsoft.com/en-us/library/cc785670%28v=ws.10%29.aspx
但匿名用户不应该进行更改,所以我想知道您指的是哪个事件 ID,或者您使用的工具是什么。匿名是一个基本的、受限制的帐户,用于在没有域的完整登录权限的情况下获取(希望)非侵入性信息。
编辑 - 提交太快了。您在示例中给出的 badpwdcount 示例表示某物...一台机器、一项服务、一个人...正在尝试登录但未提供正确的凭据。可能是配置错误或有人输入错误,或者有人在戳网络(是什么触发了它?IIS 中的网站?您域中的一台机器?)AD 中的 badpwdcount 属性用于跟踪,例如,在 X 次错误登录尝试后是否应锁定帐户。登录尝试代表匿名者进行,直到建立凭据。