iT邦幫忙

0

帳號鎖住LOG查詢

請教大家
是否有工具可以查詢USER帳號鎖住的電腦名稱呢? 有權限可使用ad管理工具瀏覽電腦,但無法連線到ldap server,謝謝

0
tingpi
iT邦新手 5 級 ‧ 2020-11-12 15:00:38

我都使用nlpars.exe來查詢被鎖定電腦的問題
https://ithelp.ithome.com.tw/upload/images/20201112/20114295ZVBpeqTrXs.png

看更多先前的回應...收起先前的回應...
ektrontek iT邦研究生 2 級 ‧ 2020-11-12 15:04:25 檢舉

這要每台電腦跑嗎? 現在的問題是我可以用事件檢視器來看LOG,但需要逐台來看,想問問有無其他方式
謝謝

tingpi iT邦新手 5 級 ‧ 2020-11-12 15:56:16 檢舉
  1. 先去AD Server中,將C:\Windows\debug\netlogon.log複製出來。
  2. 再用nlpars.exe程式,將netlogon.log打開,勾選我上方圖片的兩個選項。
  3. 最後再匯出就行阿,可以看到netlogon.log -Out.csv

裡面就有近期所有被鎖定的電腦資訊,以及原因了!!

ektrontek iT邦研究生 2 級 ‧ 2020-11-12 17:28:05 檢舉

ad server不能連,要請別人才能連,有沒有其他建議 謝謝

logparser 查ad的event id 4740

0
runan5678
iT邦新手 1 級 ‧ 2020-11-13 10:56:35

指定你要連的Server IP或電腦名稱,看能不能直接看到該台的eventlog
可以連的話找eventid 4740
或是如果有將相關log拋出到特定伺服器,直接去那裏找就可以了
https://ithelp.ithome.com.tw/upload/images/20201113/20043784lVPKus8HkI.png

0
CyberSerge
iT邦好手 1 級 ‧ 2020-11-22 01:11:34

需要找尋AD Server上面的日誌,找Event ID 4740 (前面很多前輩分享過)
你要看下面的Caller Computer Name,就是那一台電腦了。

https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/event-4740

我要發表回答

立即登入回答