Информация о журналах событий (активный каталог)

Недавно трое из моих администраторов Active Directory не могли войти на сервер AD через RDP.

После того, как мы перепроверили все, мы обнаружили, что эти 3 пользователя добавлены в одну группу безопасности под названием "Запретить доступ RDP" после того, как я удалил пользователей из этой группы, они теперь могут войти в систему.

  1. Я просто хочу проверить, есть ли какие-нибудь журналы, которые могут дать мне информацию о том, кто добавил этих трех пользователей в группу "Запретить доступ по RDP"?

  2. Это группа безопасности (Deny RDP Access) по умолчанию или создана?

  3. Если он создан, как проверить, кто его создал?

Спасибо, Рам

1 ответ

Это не похоже на встроенную группу, поэтому она, вероятно, была кем-то создана и связана с параметром групповой политики, который запрещает пользователям доступ через RDP.

Единственный способ узнать, кто создал эту группу:

  • Если вы проводите аудит групповых изменений
  • Если в журнале событий все еще есть событие и оно не было перезаписано

Вы также не упомянули, домен это или локальная группа? Если это группа домена, то событие, которое вы ищете, находится здесь:

https://system32.eventsentry.com/security/event/4727

На этой странице также показано, какой аудит необходимо включить, чтобы получить это событие в первую очередь.