У меня есть учетная запись, которая постоянно блокируется (учетная запись домена).
Я могу видеть, когда произошел последний неудачный вход в систему, и число неудачных попыток входа в систему было равно 5. Я хочу определить IP-адрес машины, ответственной за неправильный вход.
Как я могу это узнать?
Во-первых, необходимо включить аудит сбоев входа в систему. На практике я всегда помещал это в принудительную политику домена по умолчанию, но вы должны, по крайней мере, применить ее к своим контроллерам домена. Запись называется «Аудит событий входа в учетную запись», и по какой-то причине она по умолчанию регистрирует только успех. Информация об этом параметре доступна в Microsoft. на Technet здесь.
Как только это будет включено, журналы безопасности контроллера домена, обрабатывающего вход в систему, должны содержать необходимую информацию. В частности, проверьте аудит отказов для событий входа / выхода. Имя пользователя должно быть столбцом под названием «Пользователь», по которому можно сортировать / фильтровать, чтобы облегчить поиск.