Как включить журналы аудита отказов в Active Directory?
У меня есть учетная запись пользователя, которая постоянно блокируется. Я пытаюсь выяснить, что вызвало это. Поэтому я хочу включить аудит ошибок в просмотрщике событий как начало. Но я не знаю как!
Как включить Audit Failures, чтобы он отображался в средстве просмотра событий контроллера домена в разделе "Журналы Windows> Безопасность"?
Шаги, которые я сделал до сих пор:
- В контроллере домена выберите "Редактор управления групповыми политиками"> "Политика домена по умолчанию (связанная)"> "Конфигурация компьютера"> "Политики"> "Параметры Windows"> "Параметры безопасности"> "Локальные политики"> "Политика аудита".
- Установите для событий входа в учетную запись Audit, доступа к службам каталогов, события входа в систему "сбой". управление учетной записью уже настроено на "Успех, отказ".
- В DC запустите командную строку, введите gpupdate.
В журнале событий по-прежнему отображается только успех аудита, хотя можно проверить, что моя учетная запись пользователя получает неправильный счетчик пароля каждые несколько минут или около того.
6 ответов
Сделайте это в политике "Контроллер домена по умолчанию", чтобы применить к DC
Обратите внимание, что на сервере Win2008 и выше вам необходимо использовать параметры "Advanced Audit Policy Configuration" в GPO. Смотрите скриншот:
https://faultserver.ru/images/fd9d11f25c3276dc38f4b66eba2c2e9f003a0265.jpg
Да, вам нужно изменить политику контроллера домена по умолчанию, в противном случае вам нужно создать новый объект групповой политики и связать его с подразделением контроллеров домена. После того, как вы сделали это любым из этих двух способов, вам нужно наблюдать за событиями управления учетными записями пользователей.
4740 - для блокировки.
4767 - для разблокировки.
Обратитесь к этой статье http://www.morgantechspace.com/2013/08/how-to-enable-active-directory-change.html чтобы узнать, как включить аудит в активном каталоге
и для полного списка идентификаторов событий http://www.morgantechspace.com/2013/08/active-directory-change-audit-events.html
В зависимости от вашего функционального уровня AD. Для функционального уровня Windows 2003 Ad политики аудита должны быть настроены, как сказал @Jake, это базовые политики аудита. Когда дело доходит до Windows 2008 или более поздней версии, у вас уже есть базовые политики аудита, а Microsfot добавил более сложный / расширенный вариант аудита (Advanced Avanced Security Audit Policy.
Как сказал @Kombaiah M,
необходимо изменить политику контроллера домена по умолчанию, в противном случае необходимо создать новый объект групповой политики и связать его с подразделением контроллеров домена.
Будьте внимательны с включением базовой и расширенной политик аудита, поскольку у вас будут непредсказуемые результаты ( Особые соображения).
Для идентификации заблокированных учетных записей пользователей следует учитывать, что идентификаторы событий различаются в зависимости от уровня функционирования AD. Как отметил @Kombaiah M, идентификаторы событий для w2k8
4740 - для блокировки.
4767 - для разблокировки.
Если у вас все еще есть контроллеры домена w2k3, идентификаторы событий отличаются от указанных выше:
Учетная запись пользователя заблокирована
Учетная запись пользователя разблокирована
Здесь у вас есть довольно интересный документ Видео: Аудит и Конфигурации расширенного аудита о расширенном аудите Conf.
Действительно, если вам нужно включить / отключить аудит в Active Directory, вам нужно изменить политику контроллера домена по умолчанию, а не политику домена. Это связано с тем, что аудит выполняется на контроллерах домена, и это политика контроллера домена по умолчанию, которая управляет политикой на контроллерах домена.
Вы можете использовать Microsoft Lockout Status Tool http://www.microsoft.com/en-gb/download/confirmation.aspx?id=15201 чтобы помочь определить, какой сервер AD записывает попытки ввода неверного пароля, это должно помочь сузить область действия!