我有一个帐户,一直被locking(一个域帐户)。
我可以看到最后一次错误的login发生的时间和错误的login计数= 5.我想确定的是负责坏login的机器的IP地址。
我怎样才能find这个?
首先,需要启用对login失败的审计。 作为一个惯例,我总是把它放在一个强制的默认域策略中,但至less应该把它应用到你的域控制器上。 该条目称为“审计帐户login事件”,并且由于某种原因,它仅默认logging成功。 有关此设置的信息可从Microsoft 在Technet上的此处获得。
一旦启用,处理login的域控制器的安全日志应该包含必要的信息。 具体来说,检查login/注销事件的失败审计。 用户名应该是一个名为“用户”的列,您可以对其进行sorting/筛选以简化search。