Мне нужно регистрировать все неудачные попытки аутентификации в моем домене Active Directory. Внешнее приложение связывается с MS AD через LDAPS и использует AD для запросов аутентификации пользователей.
Когда используется неправильный пользователь или пароль, я не вижу событий аудита в средстве просмотра событий DC (Журналы Windows> Безопасность).
Я протестировал базовые сценарии, чтобы попытаться понять, что подвергается аудиту:
Как я могу регистрировать все перечисленные выше события? В конечном итоге мне нужно регистрировать неудачные попытки аутентификации из внешнего приложения, которое аутентифицируется в моем AD с использованием учетных данных домена.
Нужно ли мне включать расширенный аудит?
Необходима ли пересылка событий?
Чтобы включить ведение журнала неудачных попыток, вам необходимо использовать «Расширенная конфигурация политики аудита» в редакторе управления групповой политикой, чтобы включить регистрацию успешных и неудачных попыток входа в систему.
Это позволит регистрировать успешные и неудачные попытки входа в систему. Если вы хотите регистрировать только неудачные попытки, просто выберите Failure only на шаге 4.