我有一个用户帐户一直被锁定。我想找出原因。所以我想在事件查看器中启用失败审核作为开始。但是,我不知道怎么做!
如何启用审计失败,以便它显示在 Windows 日志 > 安全下的 DC 事件查看器中?
我到目前为止已完成的步骤:
- 在 DC 中,转到组策略管理编辑器 > 默认域策略(链接) > 计算机配置 > 策略 > Windows 设置 > 安全设置 > 本地策略 > 审核策略
- 将审核帐户登录事件、目录服务访问、登录事件设置为“失败”。帐户管理已设置为“成功,失败”。
- 在 DC 中,启动命令提示符,输入 gpupdate。
尽管可以检查到我的用户帐户每隔几分钟就会出现一次错误密码计数,但事件日志仍然仅显示审核成功。
答案1
在“默认域控制器”策略上执行此操作以应用于 DC
答案2
注意在Win2008服务器及以上版本,需要使用GPO中的“高级审核策略配置”选项。看截图:
答案3
是的,您需要编辑默认域控制器策略,否则您需要创建新的 GPO 并将其链接到域控制器 OU。通过这两种方式中的任何一种完成此操作后,您需要观察用户帐户管理事件
4740—表示锁定。
4767-已解锁。
参考这篇文章http://www.morgantechspace.com/2013/08/how-to-enable-active-directory-change.html了解如何在 Active Directory 中启用审核
以及完整的事件 ID 列表http://www.morgantechspace.com/2013/08/active-directory-change-audit-events.html
答案4
取决于您的 AD 功能级别。对于 Windows 2003 Ad 功能级别,必须按照 @Jake 所述配置审计策略,这些是基本审计策略。对于 Windows 2008 或更高版本,您已经拥有基本审计策略,而 Microsfot 添加了更复杂/更细粒度的审计风格(高级高级安全审计策略。
正如@Kombaiah M 所说,
您需要编辑默认域控制器策略,否则您需要创建新的 GPO 并将其链接到域控制器 OU
启用基本和高级审计策略时要小心,因为您将得到不可预测的结果(特别注意事项)。
要识别用户锁定的帐户,您应该记住,事件 ID 会因 AD 功能级别而异。正如 @Kombaiah M 指出的那样,w2k8 的事件 ID 是
4740—表示锁定。
4767-已解锁。
如果您仍具有 w2k3 域控制器,则事件 ID 与上面的不同:
这里有一个非常有趣的文件视频:审计与高级审计配置关于高级审计会议。