当我登录到 Active Directory 域中的特定计算机时,事件查看器中记录的登录类型为10,但域控制器上的相同事件日志为3。为什么域控制器上的所有登录都是 登录类型 ,3而机器中的登录类型为10?
答案1
简而言之,您将看到工作站或服务器上记录的交互式或远程登录类型。在域控制器上,您会看到登录类型 3,因为计算机正在针对 DC 进行身份验证和他们还访问 DC 的 SYSVOL 共享来读取 GPO(组策略对象)。
在计算机上您正在登录,您将看到:
- 02:互动- 有用户登录到此计算机。
- 10:远程互动- 用户使用终端服务或远程桌面远程登录到此计算机。
- 11:CachedInteractive- 用户使用存储在本地计算机上的网络凭据登录到此计算机。未联系域控制器来验证凭据。
在您的域控制器上, 你会看见:
- 03:网络- 从网络登录到此计算机的用户或计算机。在这种情况下,您的计算机和用户帐户正在访问 GPO 的 SYSVOL 共享。
答案2
看:https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventID=4624
两者都应为类型 10。由于 DC 安全日志中发生了很多事情,并且您的帐户的任何登录都会在 DC 上创建类型 3 事件,因此来自您的 rdp 会话构建的“真实”登录事件可能会被忽略。
过滤 ID 4624 并再次查看。连接 DC 时肯定应该有一个类型为 10 的事件。