Информация о журналах событий (активный каталог)
Недавно трое из моих администраторов Active Directory не могли войти на сервер AD через RDP.
После того, как мы перепроверили все, мы обнаружили, что эти 3 пользователя добавлены в одну группу безопасности под названием "Запретить доступ RDP" после того, как я удалил пользователей из этой группы, они теперь могут войти в систему.
Я просто хочу проверить, есть ли какие-нибудь журналы, которые могут дать мне информацию о том, кто добавил этих трех пользователей в группу "Запретить доступ по RDP"?
Это группа безопасности (Deny RDP Access) по умолчанию или создана?
Если он создан, как проверить, кто его создал?
Спасибо, Рам
1 ответ
Это не похоже на встроенную группу, поэтому она, вероятно, была кем-то создана и связана с параметром групповой политики, который запрещает пользователям доступ через RDP.
Единственный способ узнать, кто создал эту группу:
- Если вы проводите аудит групповых изменений
- Если в журнале событий все еще есть событие и оно не было перезаписано
Вы также не упомянули, домен это или локальная группа? Если это группа домена, то событие, которое вы ищете, находится здесь:
https://system32.eventsentry.com/security/event/4727
На этой странице также показано, какой аудит необходимо включить, чтобы получить это событие в первую очередь.