与AD的一些审计工具,我注意到许多改变
匿名login
例如badPwdCount和badPasswordTime与之前和之后的值相同。
任何想法为什么这个“变化”确实发生,如果它实际上没有改变什么?
什么改变? 或者你只是在日志中看到匿名login事件?
匿名帐户用于涉及从域中查询信息的多个任务。 来自微软:
运行早于Windows 2000的Windows版本的某些服务使用匿名访问从域控制器请求用户帐户信息,并列出文件服务器和工作站上的networking共享。
当跨森林的单向信任关系的信任域中的pipe理员需要列出其他林的受信任域中的用户和共享时,您还可能需要允许匿名访问。
还有更多在http://technet.microsoft.com/en-us/library/cc785670%28v=ws.10%29.aspx
但匿名用户不应该进行更改,所以我想知道你指的是什么事件ID或者你使用的是什么工具。 匿名是一个基本的,有限的帐户获得(希望)非侵入性信息没有完整的login权的域名。
编辑 – 点击提交太快。 您在示例中为badpwdcount提供的示例是说某个机器,一个服务,一个人……正在尝试login,而没有提供正确的凭据。 可能是configuration错误,或者是某人误点东西,或者有人在戳networking(什么是触发它?IIS中的网站?域中的计算机?)AD中的badpwdcount属性用于跟踪,例如,帐户是否应该在X次login尝试失败后locking。 login尝试代表匿名完成,直到证书build立。