Назад | Перейти на главную страницу

Информация о журналах событий (активный каталог)

Недавно трое из моих администраторов Active Directory не могли войти на сервер AD через RDP.

После того, как мы перепроверили все, мы обнаружили, что эти 3 пользователя добавлены в одну группу безопасности под названием «Запретить доступ RDP» после того, как я удалил пользователей из этой группы, они теперь могут войти в систему.

  1. Я просто хочу проверить, есть ли какие-нибудь журналы, которые могут дать мне информацию о том, кто добавил этих трех пользователей в группу «Запретить доступ по RDP»?

  2. Это группа безопасности (Deny RDP Access) по умолчанию или создана?

  3. Если он создан, как проверить, кто его создал?

Спасибо, Рам

Это не похоже на встроенную группу, поэтому она, вероятно, была кем-то создана и связана с параметром групповой политики, который запрещает пользователям доступ через RDP.

Единственный способ узнать, кто создал эту группу:

  • Если вы проводите аудит групповых изменений
  • Если в журнале событий все еще есть событие и оно не было перезаписано

Вы также не упомянули, домен это или локальная группа? Если это группа домена, то событие, которое вы ищете, находится здесь:

https://system32.eventsentry.com/security/event/4727

На этой странице также показано, какой аудит необходимо включить, чтобы получить это событие в первую очередь.