JL.*_*JL. 3 windows-server-2008 domain user-accounts
我有一个一直被锁定的帐户(域帐户)。
我可以看到上次错误登录发生的时间和错误登录计数 = 5。我要确定的是负责错误登录的机器的 IP 地址。
我怎样才能找到这个?
首先,需要启用登录失败审计。作为实践,我一直将其置于强制的默认域策略中,但您至少应该将其应用于域控制器。该条目称为审核帐户登录事件,它仅出于某种原因默认记录成功。有关此设置的信息可从 Microsoft在 Technet 上获得。
一旦启用,处理登录的域控制器的安全日志应包含必要的信息。具体来说,检查登录/注销事件的失败审计。用户名应该是一个名为 User 的列,您可以通过排序/过滤来简化搜索。
| 归档时间: |
|
| 查看次数: |
41678 次 |
| 最近记录: |