当域用户帐户被锁定时,我无法让 Windows Server 2008 进行记录。我的域控制器都是 Windows Server 2008 R1。
我可以找到用户名/密码错误时的审计失败事件 (ID 4771),但当帐户因多次错误尝试而被锁定时,我找不到。到目前为止,我从网上阅读中发现,“审计帐户锁定”组策略(位于计算机配置 > 策略 > Windows 设置 > 安全设置 > 高级审计策略配置 > 审计策略 > 登录/注销)必须设置为失败,以便记录失败,但仍然没有记录。
我已经在默认域策略和默认域控制器策略下配置了此策略,因为这里默认启用了很多帐户/密码策略,通常我不会触碰这些 GPO。
经过测试,我可以看到事件 ID 4625 记录在客户端的本地事件日志中,但没有记录在 DC 上。同样,我可以在 DC 上看到错误的用户名/密码事件 4771(我也检查了所有 DC 日志),只是没有看到 4625。
注意:当我在组策略中配置审核帐户锁定事件时,我通过工作站上的 RSAT 工具对其进行了配置。当我尝试在 DC 上本地配置它时,该特定设置不可用。我的工作站是 Windows 8.1,服务器是 2008 R1。我不确定这是否有区别,但我之前曾使用我的工作站配置过组策略,我无法在 DC 上配置它们,而且它们已经起作用了。
谢谢。
答案1
Craig,你说得对,是 4740,但我之前搜索过,但一无所获。在 Windows 7 客户端上,是 4625。
我找到了问题所在。我提到的审计帐户锁定策略仅设置为“失败”。一旦我启用“成功”,它就会记录 ID 为 4740 的锁定。我以为我之前已经测试过“成功”,但在过滤 4740 的日志后,我只找到了今天的事件。Windows 7 中的日志一定让我感到困惑,因为那个日志显示 4625,类别为“失败”和帐户锁定。
谢谢。