Я нашел это в журналах консоли:
10/03/10 3:53:58 PM SecurityAgent[156] User info context values set for tom 10/03/10 3:53:58 PM authorizationhost[154] Failed to authenticate user (tDirStatus: -14090). 10/03/10 3:54:00 PM SecurityAgent[156] User info context values set for tom 10/03/10 3:54:00 PM authorizationhost[154] Failed to authenticate user (tDirStatus: -14090). 10/03/10 3:54:03 PM SecurityAgent[156] User info context values set for tom 10/03/10 3:54:03 PM authorizationhost[154] Failed to authenticate user (tDirStatus: -14090).
Примерно 11 из этих сообщений «не удалось аутентифицировать» регистрируются в быстрой последовательности. Мне кажется, что кто-то сидит и пытается угадать пароль. Однако, когда я попытался воспроизвести это, я получил те же сообщения журнала, за исключением того, что это дополнительное сообщение появляется после пяти попыток:
13/03/10 1:18:48 PM DirectoryService[11] Failed Authentication return is being delayed due to over five recent auth failures for username: tom.
Я не хочу обвинять кого-то в попытке взломать учетную запись, не будучи уверенным, что они действительно пытались взломать. Мой вопрос таков: это почти наверняка кто-то угадывает пароль, или 11 «не удалось аутентифицировать» сообщения могут быть вызваны чем-то другим?
РЕДАКТИРОВАТЬ: Фактический пользователь не вошел в систему или не использовал компьютер во время попытки входа.
Я вижу несколько вещей на различных сайтах mas, и похоже (насколько я предполагаю) этот журнал сохраняется, когда пользователь пытается аутентифицироваться в службе, такой как календарь или сервер ldap. И могут быть причины, отличные от злонамеренного умысла, по которым пользователи не могут войти в систему на сервере, например, неправильное время на машине, истек срок действия сертификата в цепочке ключей или неправильные настройки доверия.
По крайней мере, я бы подошел к пользователю и спросил, были ли у него проблемы со входом в систему, или что-то запрашивало пароль каждые три минуты и т. Д.