我們禁用的管理員帳戶憑據之一仍用於從一堆其他伺服器在某些 Windows 伺服器上執行(失敗)登錄嘗試。登錄嘗試是使用 Kerberos 身份驗證進行的。
問題:如何在源伺服器上辨識負責這些嘗試的腳本/應用程序?哪個日誌源可能更可靠?我可以為特定的使用者名設置某種監聽器嗎?
目前我一直在源伺服器的事件查看器中進行調查,但找不到與我的問題相關的任何資訊。
感謝ner0的另一篇文章,我能夠通過以下命令使用憑據辨識程序:
schtasks /query /v /fo csv > sched_tasks.csv
引用自:https://serverfault.com/questions/1007976