Cum se activează jurnalele de audit de eșec în Active Directory? (Administrarea sistemului, Director Activ, Eventviewer, Securitate)

Jake a intrebat.

Am un cont de utilizator care continuă să fie blocat. Încerc să aflu care a fost cauza. Așa că vreau să activez auditurile de eșec în Event Viewer ca un început. Dar, nu știu cum!

Cum pot activa auditul eșecurilor de audit astfel încât să apară în vizualizatorul de evenimente al DC sub Windows Logs > Securitate?

Pașii pe care i-am făcut până acum:

  • În DC, mergeți la Group Policy Management Editor > Default Domain Policy (Linked) > Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies > Audit Policy
  • Setați Audit account logon events, directory services access, logon events la „failure”. account management este deja setat la „Success, Failure”.
  • În DC, porniți promptul de comandă, tastați gpupdate.

Jurnalul de evenimente încă arată doar Audit Success (Succesul auditului), chiar dacă se poate verifica faptul că contul meu de utilizator primește un număr de parole greșite la fiecare câteva minute sau cam așa ceva.

Comentarii

  • Ați fost atât de aproape! Vedeți primul răspuns de mai jos. –  > Por SturdyErde.
6 răspunsuri
MichelZ

Faceți acest lucru pe politica „Controler de domeniu implicit” pentru a o aplica la DC-uri

Comentarii

  • AH… ar fi trebuit să știu! –  > Por Jake.
KERR

Rețineți că în serverul Win2008 și mai sus, trebuie să utilizați opțiunile „Advanced Audit Policy Configuration” (Configurare avansată a politicii de audit) din GPO. Consultați captura de ecran:

Kombaiah M

Da, trebuie să editați pe Default Domain Controller policy, altfel trebuie să creați un nou GPO și să îl legați de Domain Controllers OU. După ce ați făcut-o în oricare dintre aceste două moduri, trebuie să urmăriți evenimentele User Account Management (Gestionarea conturilor de utilizator)

4740 – pentru blocat.

4767 – pentru deblocat.

Consultați acest articol http://www.morgantechspace.com/2013/08/how-to-enable-active-directory-change.html pentru a afla cum să activați auditul în Active Directory.

și pentru lista completă a ID-urilor de evenimente http://www.morgantechspace.com/2013/08/active-directory-change-audit-events.html

AntoineF

Într-adevăr, dacă aveți nevoie să activați/dezactivați auditul în Active Directory, trebuie să modificați politica implicită a Controlerului de domeniu, nu politica de domeniu. Acest lucru se datorează faptului că auditul se face pe DC-uri și politica implicită a Controlerului de domeniu este cea care guvernează politica pe DC-uri.

fedayn

În funcție de nivelul funcțional AD. Pentru un nivel funcțional Windows 2003 Ad, Politicile de audit trebuie configurate așa cum a spus @Jake, acestea sunt Politici de audit de bază. Când vine vorba de Windows 2008 sau mai sus, aveți deja Politici de audit de bază și Microsfot a adăugat o aromă de audit mai complexă/grainată (Advanced Politica de audit de securitate avansată.

Așa cum a spus @Kombaiah M,

trebuie să editați politica Default Domain Controller, altfel trebuie să creați un nou GPO și să îl legați de OU Domain Controllers.

Aveți grijă la activarea politicilor de audit Basic și Advanced, deoarece veți avea rezultate imprevizibile (Considerații speciale).

Pentru a identifica conturile blocate de utilizator, trebuie să țineți cont de faptul că ID-urile de eveniment diferă în funcție de nivelul funcțional AD. După cum a subliniat @Kombaiah M, ID-urile de eveniment pentru w2k8 sunt următoarele

4740 – pentru locked out.

4767 – pentru deblocat.

Dacă aveți încă controllere de domeniu w2k3, ID-urile de eveniment diferă de cele de mai sus:

Cont de utilizator blocat

Cont de utilizator deblocat

Aici aveți un document destul de interesant Video: Configurații de auditare vs. Configurații avansate de auditare despre Advanced Audit Conf.

Herbert Swindler Jr

Puteți utiliza instrumentul Microsoft Lockout Status Tool http://www.microsoft.com/en-gb/download/confirmation.aspx?id=15201 pentru a ajuta la identificarea serverului AD care înregistrează încercările de parolă greșită, acest lucru ar trebui să vă ajute să reduceți domeniul de aplicare!