溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
問題描述:AD賬戶頻繁被鎖定,系統中無法查到相關鎖定日志記錄
處理過程:通過以下方法,驗證是否開啟了日志記錄:
在AD服務器上以管理員身份運行cmd,輸入命令,netdom query fsmo,查看PDC服務器角色
登陸到PDC服務器上,以管理員身份運行cmd,輸入命令:auditpol/get /category:* 確保審核策略已開啟
如果策略已開啟,在系統日志的安全日志 查找事件ID4740
查看是否能搜索到鎖定的事件日志
如果無事件日志記錄,或審核未開啟,請在PDC的本地策略開啟事件審核,在PDC服務器上打開"本地安全策略"
確保以下事件審核已開啟
其他相關事件ID說明
賬戶解鎖,事件ID4767,
用戶憑據驗證,事件ID4776,
8. 通過以上檢查,發現在組策略中設置審核策略后AD服務器通過命令auditpol/get /category:*查看系統審核策略依舊未開啟
9. 通過命令auditpol/get /category:*檢查其他服務器發現系統審核策略未開啟
解決方法:
============
1. 重建AD域控所應用的審核策略組策略,重建后驗證AD審核策略狀態,客戶端賬戶登陸鎖定,日志記錄正常
2. 查看其他windows 服務器上的系統審核策略狀態依舊是無審核狀態,通過啟用組策略中高級審核策略后,通過命令auditpol/get /category:*查看其他服務器系統審核狀態正常
3. 關于審核策略及高級審核策略區別在于高級審核策略在數量和類型上選擇性更多,配置更加靈活,參考:https://technet.microsoft.com/en-us/library/ff182311(v=ws.10).aspx#BKMK_2
4. 目前同時使用了審核策略和高級審核策略,如果想停止高級審核策略需如下操作:
以下策略設置為禁用,默認沒有定義狀態時為啟用狀態
然后使用auditpol /clear清除下現在的審核策略
手動刪除audit.csv文件
路徑:
%systemroot%\system32\grouppolicy\machine\microsoft\windows nt\audit\audit.csv
%systemroot%\security\audit\audit.csv
禁用高級審核策略設置,禁用后驗證審核策略是否有效
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
