Назад | Перейти на главную страницу

Сбои аудита безопасности в средстве просмотра событий Windows Server 2008R2

Когда я смотрю на вкладку безопасности своего средства просмотра событий на Windows Server 2008 R2, я показываю массу ошибок аудита с идентификатором события 4776.

The computer attempted to validate the credentials for an account.

Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Logon Account:  randy
Source Workstation: HPDB1
Error Code: 0xc0000064

Я подтвердил, что учетная запись "randy" существует в моей Active Directory. Насколько я понимаю, в последнее время пароль не менялся. Есть ли способ получить подробную информацию об этой ошибке? Мне интересно, какая программа запрашивает эту информацию.

Кроме того, есть ли способ устранить эту ошибку? Я думал сбросить пароль и вернуть его к исходному.

Код ошибки 0xc0000064 означает, что указанный пользователь не существует. Я знаю, что вы сказали, что в вашем домене есть пользователь с именем «randy». Чтобы исправить это, вы посмотрите на приложения на рабочей станции HPDB1 и выясните, какое из них пытается войти в систему как «randy», но не добавляет префикс вашего домена.

(Такие как DomainA\randy)

Ищите запланированные задачи, службы и т. Д., Которые могут выполняться в контексте безопасности 'randy' или могут пытаться использовать имя пользователя 'randy' для входа в домен. Также проверьте хранилище учетных данных Windows. Рэнди ввел свои учетные данные во что-то без указания имени домена.

У меня была аналогичная проблема. Это были скрытые устаревшие учетные данные. Попробуй это:

Из командной строки запустите: psexec -i -s -d cmd.exe

В новом окне DOS запустите: rundll32 keymgr.dll,KRShowKeyMgr

Удалите все элементы, которые отображаются в списке сохраненных имен пользователей и паролей. Перезагрузите компьютер.