问题描述:AD账户频繁被锁定,系统中无法查到相关锁定日志记录
创新互联建站-专业网站定制、快速模板网站建设、高性价比长春网站开发、企业建站全套包干低至880元,成熟完善的模板库,直接使用。一站式长春网站制作公司更省心,省钱,快速模板网站建设找我们,业务覆盖长春地区。费用合理售后完善,十多年实体公司更值得信赖。处理过程:通过以下方法,验证是否开启了日志记录:
在AD服务器上以管理员身份运行cmd,输入命令,netdom query fsmo,查看PDC服务器角色
登陆到PDC服务器上,以管理员身份运行cmd,输入命令:auditpol/get /category:* 确保审核策略已开启
如果策略已开启,在系统日志的安全日志 查找事件ID4740
查看是否能搜索到锁定的事件日志
如果无事件日志记录,或审核未开启,请在PDC的本地策略开启事件审核,在PDC服务器上打开"本地安全策略"
确保以下事件审核已开启
其他相关事件ID说明
账户解锁,事件ID4767,
用户凭据验证,事件ID4776,
8. 通过以上检查,发现在组策略中设置审核策略后AD服务器通过命令auditpol/get /category:*查看系统审核策略依旧未开启
9. 通过命令auditpol/get /category:*检查其他服务器发现系统审核策略未开启
解决方法:
============
1. 重建AD域控所应用的审核策略组策略,重建后验证AD审核策略状态,客户端账户登陆锁定,日志记录正常
2. 查看其他windows 服务器上的系统审核策略状态依旧是无审核状态,通过启用组策略中高级审核策略后,通过命令auditpol/get /category:*查看其他服务器系统审核状态正常
3. 关于审核策略及高级审核策略区别在于高级审核策略在数量和类型上选择性更多,配置更加灵活,参考:https://technet.microsoft.com/en-us/library/ff182311(v=ws.10).aspx#BKMK_2
4. 目前同时使用了审核策略和高级审核策略,如果想停止高级审核策略需如下操作:
以下策略设置为禁用,默认没有定义状态时为启用状态
然后使用auditpol /clear清除下现在的审核策略
手动删除audit.csv文件
路径:
%systemroot%\system32\grouppolicy\machine\microsoft\windows nt\audit\audit.csv
%systemroot%\security\audit\audit.csv
禁用高级审核策略设置,禁用后验证审核策略是否有效
另外有需要云服务器可以了解下创新互联scvps.cn,海内外云服务器15元起步,三天无理由+7*72小时售后在线,公司持有idc许可证,提供“云服务器、裸金属服务器、高防服务器、香港服务器、美国服务器、虚拟主机、免备案服务器”等云主机租用服务以及企业上云的综合解决方案,具有“安全稳定、简单易用、服务可用性高、性价比高”等特点与优势,专为企业上云打造定制,能够满足用户丰富、多元化的应用场景需求。
当前文章:AD账户频繁被锁定-开启日志审核策略-创新互联
标题来源:http://lswzjz.com/article/pissj.html