Я написал сценарий PowerShell, чтобы отправлять мне электронное письмо о событиях блокировки учетной записи, когда я заметил, что их почти нет в средстве просмотра событий. Я использовал тестового пользователя, попытался выполнить пять неудачных попыток входа и получил сообщение, что Testo заблокирован. Затем я проверил свою программу просмотра событий на обоих контроллерах домена. Ничего! я нашел это Блокировка учетной записи не в средстве просмотра событий, но это не сработало, когда я впоследствии заблокировал Testo. Что мне не хватает?
Некоторые дополнительные сведения: Средство просмотра событий фильтрации на 4740 Testo является пользователем AD, который ранее для тестирования успешно вошел в систему GPO: Audit Account Lockout установлен на Audit Success и Failure. Серверы DC - 2016 и 2008. Рабочая станция - Win 7.
Вам необходимо настроить сценарий для отправки предупреждения при возникновении определенного события (4740) на контроллерах домена. В моем случае для этого я создал задачу (запланированную). Помните, что вам необходимо включить политики аудита безопасности на контроллерах домена, чтобы регистрировать такие события.
Кроме того, не забудьте указать на экране правильный журнал и источник:
Имя журнала: Безопасность
Источник: Microsoft-Windows-Security-Auditing
ID события: 4740
Проверьте эту ссылку для получения более подробной информации (относится к 2008 году, но то же самое и к 2016 году): http://techgenix.com/Event-IDs-Windows-Server-2008-Vista-Revealed/