我的问题是尝试找到非域计算机的锁定源。
在事件查看器中,事件 4740 调用方计算机名称为空白。事件查看器 4776,我显示错误代码 0xC000006A。
该帐户不使用电子邮件,仅用于在网络上执行与管理相关的工作。如果我重命名该帐户,锁定就会停止。
我尝试了在线的几种工具,如锁定分析器、netwrix、广告审计,但始终没有显示源计算机。
答案1
该客户端正在使用 NTLM,可能未加入 AD,并且您的域控制器无法解析其主机名,并且从 AD 方面来看,您只有 02 种替代方案来跟踪源:
- 在域控制器上启用 Netlogon 的调试日志记录为此,请以管理权限打开命令提示符并运行:
然后等待事件再次被记录并在以下位置搜索更多信息:Nltest /DBFlag:2080FFFF
不要忘记关闭调试日志:%windir%\debug\netlogon.logNltest /DBFlag:0x0
通过修改 GPO 条目启用更深级别的 NTLM 身份验证审核网络安全 > 限制 NTLM:
- 到远程服务器的传出 NTLM 流量 = 全部审核
- 审核此域中的 NTLM 身份验证 = 全部启用
- 审计传入 NTLM 流量 = 为所有帐户启用审计
NTLM 审核事件将在以下位置可用:
事件查看器\应用程序和服务日志\Microsoft\Windows\NTLM\Operational
希望这能帮助您找到您正在寻找的内容。