最近,我的 3 个 Active Directory 管理员无法通过 RDP 登录到 AD 服务器。
在我们交叉检查了所有内容之后,我们发现这 3 个用户被添加到一个名为“拒绝 RDP 访问”的安全组中,在我将用户从该组中删除后,他们现在可以登录。
我只是想检查是否有任何日志可以给我提供有关谁将这 3 个用户添加到这个“拒绝 RDP 访问”组的信息?
这个安全组(拒绝 RDP 访问)是默认的还是创建的?
如果它创建了一个,如何检查是谁创建的?
谢谢,拉姆
答案1
这似乎不是一个内置组,因此它可能是由某人创建的并且与拒绝用户通过 RDP 访问的组策略设置相关联。
找出该群组创建者的唯一方法是:
- 如果你正在审核组变更
- 如果事件日志中仍有该事件且未被覆盖
您还没有提到它是域还是本地组?如果是域组,那么您要查找的事件在这里:
https://system32.eventsentry.com/security/event/4727
该页面还向您显示了为了首先获取此事件需要启用哪些审计。