Windows-Server-2008
如何找出域帳戶的錯誤登錄嘗試來自何處(Windows 2008 Server R2)
我有一個不斷被鎖定的帳戶(域帳戶)。
我可以看到最後一次錯誤登錄發生的時間和錯誤登錄計數 = 5。我要確定的是導致錯誤登錄的機器的 IP 地址。
我怎樣才能找到這個?
首先,需要啟用對登錄失敗的審計。作為實踐,我總是將它放在強制執行的預設域策略中,但您至少應該將它應用於您的域控制器。該條目稱為審核帳戶登錄事件,並且由於某種原因它僅預設記錄成功。有關此設置的資訊可從 Microsoft在 Technet 上獲得。
一旦啟用,處理登錄的域控制器的安全日誌應該包含必要的資訊。具體來說,檢查登錄/註銷事件的失敗審計。使用者名應該是一個名為 User 的列,您可以對其進行排序/過濾以簡化搜尋。