Как включить журналы ошибок аудита в Active Directory?
У меня есть учетная запись пользователя, которая постоянно блокируется. Я пытаюсь выяснить, чем это вызвано. Поэтому я хочу для начала включить аудит отказов в средстве просмотра событий. Но я не знаю как!
Как включить сбои аудита, чтобы они отображались в средстве просмотра событий контроллера домена в разделе Журналы Windows> Безопасность?
Шаги, которые я сделал до сих пор:
- В контроллере домена перейдите в Редактор управления групповой политикой> Политика домена по умолчанию (связанная)> Конфигурация компьютера> Политики> Параметры Windows> Параметры безопасности> Локальные политики> Политика аудита.
- Установите для Аудит событий входа в систему, доступа к службам каталогов, событий входа в систему значение «сбой». управление счетом уже установлено на «Успех, Неудача».
- В DC запустите командную строку, введите gpupdate.
В журнале событий по-прежнему отображается только успех аудита, хотя можно проверить, что моя учетная запись пользователя получает неверный пароль каждые несколько минут или около того.
Сделайте это в политике «Контроллер домена по умолчанию», чтобы применить к DC
Обратите внимание, что на сервере Win2008 и более поздних версиях вам необходимо использовать параметры «Расширенная конфигурация политики аудита» в объекте групповой политики. Смотрите скриншот:
Да, вам необходимо отредактировать политику контроллера домена по умолчанию, в противном случае вам нужно создать новый объект групповой политики и связать его с подразделением контроллеров домена. После того, как вы сделали это одним из этих двух способов, вам нужно будет наблюдать за событиями управления учетными записями пользователей.
4740 - для локаута.
4767 - для разблокировки.
Обратитесь к этой статье http://www.morgantechspace.com/2013/08/how-to-enable-active-directory-change.html чтобы знать, как включить аудит в активном каталоге
и полный список идентификаторов событий http://www.morgantechspace.com/2013/08/active-directory-change-audit-events.html
Действительно, если вам нужно включить / отключить аудит в Active Directory, вам нужно изменить политику контроллера домена по умолчанию, а не политику домена. Это связано с тем, что аудит выполняется на контроллерах домена, и это политика контроллера домена по умолчанию, которая управляет политикой на контроллерах домена.
В зависимости от вашего функционального уровня AD. Для функционального уровня Windows 2003 Ad необходимо настроить политики аудита, как сказал @Jake, это основные политики аудита. Когда дело доходит до Windows 2008 или более поздней версии, у вас уже есть базовые политики аудита, а компания Microsfot добавила более сложный / детализированный вариант аудита (Advanced Расширенная политика аудита безопасности.
Как сказал @Kombaiah M,
вам необходимо отредактировать политику контроллера домена по умолчанию, в противном случае вам нужно создать новый объект групповой политики и связать его с подразделением контроллеров домена
Будьте осторожны с включением базовых и расширенных политик аудита, так как вы получите непредсказуемые результаты (Особые соображения).
Чтобы идентифицировать заблокированные пользователем учетные записи, следует иметь в виду, что идентификаторы событий различаются в зависимости от функционального уровня AD. Как отметил @Kombaiah M, идентификаторы событий для w2k8:
4740 - для локаута.
4767 - для разблокировки.
Если у вас все еще есть контроллеры домена w2k3, идентификаторы событий отличаются от указанных выше:
Учетная запись пользователя заблокирована
Учетная запись пользователя разблокирована
Вот вам довольно интересный документ Видео: Аудит и расширенные конфигурации аудита о Advanced Audit Conf.
Вы можете использовать Microsoft Lockout Status Tool http://www.microsoft.com/en-gb/download/confirmation.aspx?id=15201 чтобы помочь определить, какой сервер AD записывает попытки ввода неверного пароля, это должно помочь сузить область действия!