如何在Active Directory中启用审核失败日志?
我有一个用户帐户不断被locking。 我试图找出是什么原因造成的。 所以我想在事件查看器中启用失败审计。 但是,我不知道如何!
如何启用审核失败,使其显示在Windows日志>安全性的DC事件查看器中?
到目前为止,我所做的步骤是:
- 在DC中,转到组策略pipe理编辑器>默认域策略(链接)>计算机configuration>策略> Windows设置>安全设置>本地策略>审核策略
- 将审核帐户login事件,目录服务访问,login事件设置为“失败”。 账户pipe理已经设置为“成功,失败”。
- 在DC中,启动命令提示符,键入gpupdate。
事件日志仍然只显示审计成功,即使可以检查我的用户帐户是每隔几分钟左右密码计数错误。
- 如何用Java keytool生成新的2048位Diffie-Hellman参数?
- 如何保护黑客从SQL Server
- 目录,用户可以阅读,但根不能?
- 停止DOS攻击
- 允许域用户在机器上启动和停止服务的最佳方法是什么?
在“默认域控制器”策略上执行此操作以应用于数据中心
请注意,在Win2008服务器及以上版本中,您需要使用GPO中的“高级审核策略configuration”选项。 看截图:
是的,您需要在默认域控制器策略上进行编辑,否则您需要创build新的GPO并将其链接到域控制器OU。 一旦你用这两种方式完成了,你需要观察用户帐户pipe理事件
4740 – locking。
4767 – 为解锁。
和完整的活动ID列表http://www.morgantechspace.com/2013/08/active-directory-change-audit-events.html
事实上,如果您需要在Active Directory中启用/禁用审核,则需要更改默认的域控制器的策略,而不是域策略。 这是因为审计是在DC上完成的,并且是pipe理DC的策略的默认域控制器的策略。
取决于你的ADfunction级别。 对于Windows 2003广告function级别,必须将审核策略configuration为@Jake所说的基本审核策略。 当涉及到Windows 2008或更高版本时,您已经拥有基本审计策略,并且Microsfot添加了更复杂/细化的审计风格(高级高级安全审计策略) 。
正如@Kombaiah M所说,
您需要编辑默认域控制器策略,否则您需要创build新的GPO并将其链接到域控制器OU
请小心启用基本和高级审核策略,因为您将有不可预知的结果( 特殊注意事项 )。
要识别用户locking的帐户,您应该记住考虑到ADfunction级别,事件id不同。 正如@Kombaiah M指出的那样,w2k8的事件id是
4740 – locking。
4767 – 为解锁。
如果您仍然拥有w2k3域控制器,则事件ID与上述不同:
用户帐户被locking
用户帐户已解锁
在这里,您有一个非常有趣的文档video:审计与高级审计configuration关于高级审计configuration 。