AD账户频繁被锁定-开启日志审核策略
2017-11-13 10:48
429 查看
问题描述:AD账户频繁被锁定,系统中无法查到相关锁定日志记录
处理过程:通过以下方法,验证是否开启了日志记录:
在AD服务器上以管理员身份运行cmd,输入命令,netdom query fsmo,查看PDC服务器角色
登陆到PDC服务器上,以管理员身份运行cmd,输入命令:auditpol/get /category:* 确保审核策略已开启
![](http://s3.51cto.com/oss/201711/13/efb34691cf45db233716c22c2d098781.png)
如果策略已开启,在系统日志的安全日志 查找事件ID4740
![](http://s3.51cto.com/oss/201711/13/968922b078005e026ec3fa79e5da438e.png)
查看是否能搜索到锁定的事件日志
![](http://s3.51cto.com/oss/201711/13/c8ab4ab644cc04d881048bd89dec050f.png)
如果无事件日志记录,或审核未开启,请在PDC的本地策略开启事件审核,在PDC服务器上打开"本地安全策略"
![](http://s3.51cto.com/oss/201711/13/e3944a5a5bea9c4d5ae9e4509db94131.png)
确保以下事件审核已开启
![](http://s3.51cto.com/oss/201711/13/99c1abfee92d91b189d3f6350f78eef5.png)
其他相关事件ID说明
账户解锁,事件ID4767,用户凭据验证,事件ID4776,
8. 通过以上检查,发现在组策略中设置审核策略后AD服务器通过命令auditpol/get /category:*查看系统审核策略依旧未开启
9. 通过命令auditpol/get /category:*检查其他服务器发现系统审核策略未开启
解决方法:
============
1. 重建AD域控所应用的审核策略组策略,重建后验证AD审核策略状态,客户端账户登陆锁定,日志记录正常
2. 查看其他windows 服务器上的系统审核策略状态依旧是无审核状态,通过启用组策略中高级审核策略后,通过命令auditpol/get /category:*查看其他服务器系统审核状态正常
3. 关于审核策略及高级审核策略区别在于高级审核策略在数量和类型上选择性更多,配置更加灵活,参考:https://technet.microsoft.com/en-us/library/ff182311(v=ws.10).aspx#BKMK_2
4. 目前同时使用了审核策略和高级审核策略,如果想停止高级审核策略需如下操作:
以下策略设置为禁用,默认没有定义状态时为启用状态
然后使用auditpol /clear清除下现在的审核策略
手动删除audit.csv文件
路径:%systemroot%\system32\grouppolicy\machine\microsoft\windows nt\audit\audit.csv%systemroot%\security\audit\audit.csv
禁用高级审核策略设置,禁用后验证审核策略是否有效
处理过程:通过以下方法,验证是否开启了日志记录:
在AD服务器上以管理员身份运行cmd,输入命令,netdom query fsmo,查看PDC服务器角色
登陆到PDC服务器上,以管理员身份运行cmd,输入命令:auditpol/get /category:* 确保审核策略已开启
![](http://s3.51cto.com/oss/201711/13/efb34691cf45db233716c22c2d098781.png)
如果策略已开启,在系统日志的安全日志 查找事件ID4740
![](http://s3.51cto.com/oss/201711/13/968922b078005e026ec3fa79e5da438e.png)
查看是否能搜索到锁定的事件日志
![](http://s3.51cto.com/oss/201711/13/c8ab4ab644cc04d881048bd89dec050f.png)
如果无事件日志记录,或审核未开启,请在PDC的本地策略开启事件审核,在PDC服务器上打开"本地安全策略"
![](http://s3.51cto.com/oss/201711/13/e3944a5a5bea9c4d5ae9e4509db94131.png)
确保以下事件审核已开启
![](http://s3.51cto.com/oss/201711/13/99c1abfee92d91b189d3f6350f78eef5.png)
其他相关事件ID说明
账户解锁,事件ID4767,用户凭据验证,事件ID4776,
8. 通过以上检查,发现在组策略中设置审核策略后AD服务器通过命令auditpol/get /category:*查看系统审核策略依旧未开启
9. 通过命令auditpol/get /category:*检查其他服务器发现系统审核策略未开启
解决方法:
============
1. 重建AD域控所应用的审核策略组策略,重建后验证AD审核策略状态,客户端账户登陆锁定,日志记录正常
2. 查看其他windows 服务器上的系统审核策略状态依旧是无审核状态,通过启用组策略中高级审核策略后,通过命令auditpol/get /category:*查看其他服务器系统审核状态正常
3. 关于审核策略及高级审核策略区别在于高级审核策略在数量和类型上选择性更多,配置更加灵活,参考:https://technet.microsoft.com/en-us/library/ff182311(v=ws.10).aspx#BKMK_2
4. 目前同时使用了审核策略和高级审核策略,如果想停止高级审核策略需如下操作:
以下策略设置为禁用,默认没有定义状态时为启用状态
然后使用auditpol /clear清除下现在的审核策略
手动删除audit.csv文件
路径:%systemroot%\system32\grouppolicy\machine\microsoft\windows nt\audit\audit.csv%systemroot%\security\audit\audit.csv
禁用高级审核策略设置,禁用后验证审核策略是否有效
相关文章推荐
- AD账户锁定策略
- 查看AD账户被锁定的工具
- 账户锁定策略
- AD策略 自动锁定域中的计算机
- 请教一下win2003中的账户锁定策略的设置
- windows 账户锁定策略
- 批量解锁被锁定的AD账户
- 用账户锁定策略防止黑客暴力破解管理员帐户登录密码
- Oracle10g的账户锁定策略
- AD账号频繁被锁定原因
- AD用户频繁锁定处理实例-分享
- 查看账户安全审核失败日志事件
- Linux账户锁定策略
- AD账户频繁被锁
- AD账号被频繁锁定的解决方案
- 谁动了账号,AD\exchange行为记录启用审核策略
- Linux:账户锁定策略的实现
- 账户锁定策略
- 使用EventComboMT来搜索日志中账户锁定事件
- Linux 配置账户锁定策略