我正在尝试整理网络上的活动目录情况。存在的一个问题是,用户帐户正在对域控制器进行大量登录尝试(约 500 次),但因密码错误而失败。
我正在使用各种工具,例如 ADAudit Plus,它可以显示尝试登录的用户名、IP 和域控制器。我登录到计算机,但没有映射驱动器、网络驱动器,也没有我能看到的应用程序试图从该计算机进行此登录。我的问题是,有没有办法更好地找到有问题的工件以减少如此多的失败登录请求?
问候
答案1
查找事件 ID 5625。
登录请求失败时生成事件 4625,并生成在电脑上面尝试访问的位置。
主题字段指示本地系统上请求登录的帐户(可能是 0x0)。这通常是服务(例如 (SMB-) 服务器服务)或本地进程(例如 Winlogon 或服务)。
登录类型字段表示请求的登录类型。最常见的类型是:
- 0(“本地系统”帐户,通常由本地服务使用)
- 2(交互式)
- 3(网络)
进程信息字段指示系统上的哪个帐户和进程请求了登录(或以 0x0 表示“本地服务”)。“密钥长度”表示生成的会话密钥的长度。如果没有请求会话密钥(指向使用错误本地服务凭据的本地服务),则该字段为 0。