我有一个相当令人沮丧的问题,涉及 Active Directory 中的单个用户,其在 PDC 上的登录失败计数每 10 分钟左右就会跳到 5 次,并被锁定。
现在的“神秘”部分是我无法在 DC 上找到任何审计失败日志条目(所有高级审计策略都已启用)。
我一直在使用 Microsoft 帐户锁定工具来尝试查明问题发生的位置;错误的密码尝试都发生在单个主域控制器上。
我现在快要疯了。非常感谢任何提示/指点。
干杯!
答案1
检查审核策略子类别设置。除了 GPMC 之外,您还应该使用 regedit 和 gpedit.msc 来确认域控制器上的实际设置。
Windows 设置 > 安全设置 > 本地策略 > 安全选项:
“审计:强制审计策略子类别设置(Windows Vista 或更高版本)覆盖审计策略类别设置。
Windows Vista 及更高版本的 Windows 允许使用审核策略子类别以更精确的方式管理审核策略。在类别级别设置审核策略将覆盖新的子类别审核策略功能。组策略仅允许在类别级别设置审核策略,现有组策略可能会在新计算机加入域或升级到 Windows Vista 或更高版本时覆盖其子类别设置。为了允许使用子类别管理审核策略而无需更改组策略,Windows Vista 及更高版本中有一个新的注册表值,SCENoApplyLegacyAuditPolicy,这会阻止从组策略和本地安全策略管理工具应用类别级别的审核策略。
如果此处设置的类别级别审核策略与当前正在生成的事件不一致,则原因可能是设置了此注册表项。
默认:已启用”
