Я нахожусь в корпоративной среде среднего размера, использую Active Directory для аутентификации и т. Д. Учитывая, следует ли нам активировать политику блокировки учетной записи для неудачных попыток входа в систему, мне нужно собрать статистику по текущему количеству таких событий.
я прочел Рекомендации по блокировке учетной записи MS но все же я даже близко не понимаю, как это сделать. Документ направлен на выявление причин блокировки учетной записи, а не на получение четкой картины из журналов событий.
Итак, мой вопрос такой: где я должен посмотреть, какие следует ли мне искать (конкретные идентификаторы событий, коды сбоев, что-нибудь еще?), чтобы узнать количество неудачных попыток входа в систему (пользователь снова и снова пытается ввести неправильный пароль). Дополнительный бонус, если я могу сценарий процесса.
Дополнительная информация: серверы AD - это Windows 2003 (с одним дополнительным, работающим под управлением Windows 2008).
Простите, пожалуйста, мое незнание AD.
Спасибо заранее.
Посмотрите (например, примените фильтр) в журнале событий безопасности на контроллерах домена для EventCode 675, EventType 16. Это равносильно «Сбой предварительной аутентификации», который, по-видимому, является предшественником EventCode 644, EventType 8 - «Пользователь» Аккаунт заблокирован ».