iT邦幫忙

0

AD帳號鎖住

請教大家
是否有工具可以查詢AD帳號鎖住的原因及時間點呢?目前是使用電腦事件檢視器,來推估可能的原因,例如輸入密碼錯誤超過5次(規定的次數),但沒辦法查詢是否是因為有勾選到記憶密碼或其他因素
有參考了幾篇文章說明,但有方式可以查到USER的登入歷程嗎?例如在哪些電腦登入錯誤的記錄等
https://blog.miniasp.com/post/2010/12/07/How-to-analysis-AD-Account-Lockout-problem.aspx

https://blog.miniasp.com/post/2010/09/13/Windows-Vita-7-can-not-access-NAS-or-SAMBA.aspx
感謝

2
nerco7114
iT邦新手 3 級 ‧ 2019-02-11 14:40:36

就如同您所查的文章一樣,依照保哥的方式查詢是不用額外花錢的方式,因為Windows本身的紀錄實在太不人性化了/images/emoticon/emoticon10.gif...不然就要尋求3rd的軟體了

或者您可以參考這篇看看,是否為您想要的
https://support.microsoft.com/zh-tw/help/556015

0
roylee
iT邦高手 1 級 ‧ 2019-02-11 21:38:57

您好

您參考一下,我是使用PRTG 監控軟體,監控我公司AD主機中的log 針對evenid 4740 來監控。
當有帳戶鎖定就發通知給管理者,log 內容會有被鎖定的帳戶是由哪一台電腦嘗試登入AD。

0
tyudfg1682
iT邦新手 4 級 ‧ 2019-02-15 04:55:35

我這邊的作法是利用事件ID來觸發工作排程器 Task Scheduler裡面的任務

帳戶鎖定是有固定的事件ID的,首先DC稽核登入記錄必須開啟,

之後故意鎖定一個測試帳戶

在事件檢視器右鍵,把這個事件ID加入排程,只要有任何帳戶被鎖定就會觸發執行排程

讓排程啟動Powershell,將鎖定的事件檢視器LOG送到指定的信箱內,用信件看誰被鎖了

是的你要寫一點簡單的程式,GOOGLE一下就有不難。


至於來源,基本上每次只要有帳戶登入出錯都可以像上面說的寄信,

但是公司人一多你就會收信收到死,到時候變成通知信都變放羊的孩子,

我之前這邊每天1百多封信在收,你還會想看? AD就是強項之一就是在帳戶SSO的部分

上天下地無所不串,來源有手機的Wifi,光Wifi就有高達80%都是他造成的

使用者的Windows登入,Linux的LDAP,網頁的登入服務,外網連回公司的VPN

Git內部的存取,來自MACBOOK的存取,遊戲機,平板電腦,

我追來源只能透過網卡MAC位置,然後告知使用者去找手機還是檢查電腦

或者叫使用者去找哪個後端平台的服務,看看是不是之前登入使用後沒有登出

找MAC位置的方法,土法煉鋼,某個使用者狂噴錯誤Log的時候,去AD上面撈封包

看封包裡面的MAC是多少

我要發表回答

立即登入回答