網路印表機Log稽核

printer active directory

ahfuyeuem 2022-10-04 09:15:36 ‧ 2345 瀏覽

分享至

Hi 各位前輩
小弟公司有一位User的AD帳號非常有規律的每3個小時就會被鎖定
在AD上查詢Log發現鎖定來源是某台有分享印表機的PC

因為該台PC上沒有任何這位User的認證紀錄
所以判斷是某台電腦用他的舊密碼在一直連這台PC的印表機

目前最後的辦法就是把那台分享印表機的PC電腦名稱跟IP改了

但還是想問有沒有別的方法可以去做查詢, 找到那台電腦嗎?

感謝各位前輩.

看更多先前的討論...收起先前的討論...

竹本立里 iT邦好手 1 級 ‧ 2022-10-04 09:25:36 檢舉

MAC address table
範例
https://ithelp.ithome.com.tw/articles/10212830

小處成就大事 iT邦研究生 1 級 ‧ 2022-10-04 09:29:17 檢舉

1.最快的方法當然就是問一直被鎖帳號的同仁了（不過我想應該是沒有得到答案）
2.該印表機是全體同仁都可以用？還是某部門限定？如果是某部門限定，就可以鎖小範圍了。
3.印表機如果有列印記錄，你也可以從列印記錄中查看
4.AD稽核記錄中我記得是可以看到登入成功失敗的ip位置的，你可以看看是哪個ip一直登入失敗導致帳號被鎖。

窮嘶發發發 iT邦高手 1 級 ‧ 2022-10-04 09:48:57 檢舉

去那台電腦的認證管理員還有印表機伺服器
認證管理員去更新網路印表機的帳密
印表機伺服器重新設定印表機的連接埠為LOCAL PORT

ahfuyeuem iT邦研究生 4 級 ‧ 2022-10-04 11:23:35 檢舉

@小處成就大事
1. 沒錯, 完全沒答案.
2. 該印表機在工廠, 工廠全體員工都可以用.
3. 印表機只是單純Windows分享出來的標籤機
4.Log查詢只有show出因為這台PC導致這個帳號被鎖

小處成就大事 iT邦研究生 1 級 ‧ 2022-10-04 11:42:14 檢舉

＠ahfuyeuem
所以工廠內還有其他台電腦也會使用這台share出來的印表機
那這樣，如果你有時間的話，你可以這麼做
先待在這台PC旁，然後看誰印了東西，你這時可以去AD看是否有登入失敗的紀錄，如果有，那可能就是這時候印東西的人的電腦有一直被鎖的同仁的登入記錄。
只是這個方法就是沒啥效率...

小處成就大事 iT邦研究生 1 級 ‧ 2022-10-04 14:44:26 檢舉

後來再再再再閱讀過一次你的發問，問題其實已經透過改ip改電腦名稱排除了，但是你仍想找到源頭。

可是你改了電腦名稱、改了IP，那個同事的AD就沒被鎖了嗎？
每隔3小時就會被鎖定，應該是3小時內某個OOO嘗試登入並且密碼錯誤，然後密碼錯誤次數達到你們AD鎖定原則的上限，才會被鎖。
印表機會固定時間列印東西嗎？