当我注意到事件查看器中几乎没有任何事件时,我编写了一个 powershell 脚本,向我发送一封有关帐户锁定事件的电子邮件。我使用一个测试用户并尝试了五次错误登录,并收到 Testo 被锁定的消息。然后我在两个 DC 中检查了我的事件查看器。什么都没有!我发现了这个事件查看器中未显示帐户锁定,但后来我锁定 Testo 时却不起作用。我遗漏了什么?
更多详细信息:4740 Testo 上的过滤事件查看器是之前测试成功登录的 AD 用户 GPO:审核帐户锁定设置为审核成功和失败事件 DC 服务器是 2016 和 2008 工作站是 Win 7
答案1
您需要设置脚本,以便在域控制器上发生特定事件 (4740) 时发送警报。就我而言,我创建了一个任务 (计划任务) 来执行此操作。请记住,您需要在域控制器上启用安全审核策略才能记录此类事件。
另外,请确保将屏幕指向正确的日志和来源:
日志名称:安全
来源:Microsoft-Windows-Security-Auditing
事件 ID:4740
查看此链接了解更多详细信息(与 2008 年相关,但与 2016 年相同):http://techgenix.com/Event-IDs-Windows-Server-2008-Vista-Revealed/