当域用户帐户被locking时,我无法使Windows Server 2008进行日志logging。 我的域控制器都是Windows Server 2008 R1。
我能够find不正确的用户名/密码的审计失败事件(ID 4771),但是当错误的尝试次数过多时,帐户被locking时无法find。 到目前为止,我从在线阅读中发现,“审核帐户locking”组策略(在计算机configuration>策略> Windows设置>安全设置>高级审核策略configuration>审核策略>login/注销时发现)必须设置为失败它logging失败,但它仍然没有被logging。
我已经在默认域策略和默认域控制器策略下configuration了这个策略,因为默认情况下在这里启用了很多帐号/密码策略,通常我不碰这些GPO。
经过testing,我可以看到事件ID 4625logging在客户端的本地事件日志上,但不在DC上。 再次,我可以看到DC上的不正确的用户名/密码事件4771(我也检查过所有的DC日志),而不是4625。
注意:当我在组策略中configuration审计帐户locking事件时,我通过工作站上的RSAT工具对其进行了configuration。 当我尝试在DC本地configuration它时,该特定设置不可用。 我的工作站是Windows 8.1,服务器是2008 R1。 我不知道这是否有所作为,但我已经使用我的工作站configuration组策略之前,我不能在DC上configuration,他们已经工作。
谢谢。
克雷格,你是正确的,这是4740,但我曾经search过,并没有收到任何东西。 在Windows 7客户端上是4625。
我发现这个问题。 我提到的审计帐户locking策略只被设置为“失败”。 一旦我启用“成功”,它就用ID 4740logging了locking。我以为我以前testing过“成功”,但是在过滤4740的日志之后,我才发现今天的事件。 Windows 7中的日志必须抛出我,因为那个显示4625“失败”和帐户locking作为类别。
谢谢。