У меня довольно неприятная проблема, связанная с одним пользователем в Active Directory, чье количество неудачных попыток входа в систему на PDC возрастает до 5 каждые 10 минут или около того и блокируется.
Теперь "загадка" состоит в том, что я не могу найти никаких записей журнала Audit Failure на DC (все расширенные политики аудита включены).
Я использовал инструмент блокировки учетной записи Microsoft, чтобы попытаться определить, где возникает проблема; все попытки ввода неверного пароля происходят на одном основном контроллере домена.
Я схожу с ума в этот момент. Любые советы / указатели приветствуются.
Ура!
Проверьте параметр подкатегории политики аудита. Вам также следует использовать regedit и gpedit.msc для подтверждения фактических настроек на контроллерах домена в дополнение к GPMC.
Параметры Windows> Параметры безопасности> Локальная политика> Параметры безопасности:
«Аудит: принудительно настроить параметры подкатегории политики аудита (Windows Vista или более поздней версии), чтобы переопределить параметры категории политики аудита.
Windows Vista и более поздние версии Windows позволяют более точно управлять политикой аудита с помощью подкатегорий политики аудита. Настройка политики аудита на уровне категории переопределит новую функцию политики аудита подкатегорий. Групповая политика позволяет устанавливать политику аудита только на уровне категории, а существующая групповая политика может переопределять параметры подкатегорий новых компьютеров, когда они присоединяются к домену или обновляются до Windows Vista или более поздних версий. Чтобы разрешить управление политикой аудита с помощью подкатегорий без необходимости изменения групповой политики, в Windows Vista и более поздних версиях есть новое значение реестра, SCENoApplyLegacyAuditPolicy, который предотвращает применение политики аудита на уровне категорий из групповой политики и из административного инструмента локальной политики безопасности.
Если установленная здесь политика аудита на уровне категории не согласуется с событиями, которые в настоящее время создаются, причиной может быть установка этого раздела реестра.
По умолчанию: включено »