Назад | Перейти на главную страницу

Как определить причину неудачной попытки входа в систему для учетной записи домена (Windows 2008 Server R2)

У меня есть учетная запись, которая постоянно блокируется (учетная запись домена).

Я могу видеть, когда произошел последний неудачный вход в систему, и число неудачных попыток входа в систему было равно 5. Я хочу определить IP-адрес машины, ответственной за неправильный вход.

Как я могу это узнать?

Во-первых, необходимо включить аудит сбоев входа в систему. На практике я всегда помещал это в принудительную политику домена по умолчанию, но вы должны, по крайней мере, применить ее к своим контроллерам домена. Запись называется «Аудит событий входа в учетную запись», и по какой-то причине она по умолчанию регистрирует только успех. Информация об этом параметре доступна в Microsoft. на Technet здесь.

Как только это будет включено, журналы безопасности контроллера домена, обрабатывающего вход в систему, должны содержать необходимую информацию. В частности, проверьте аудит отказов для событий входа / выхода. Имя пользователя должно быть столбцом под названием «Пользователь», по которому можно сортировать / фильтровать, чтобы облегчить поиск.