当我使用带有 ssl 的新远程桌面并尝试使用错误凭据登录时,它会按预期记录 4625 事件。问题是,它没有记录 IP 地址,所以我无法在我们的防火墙中阻止恶意登录。事件看起来像这样:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{00000000-0000-0000-0000-000000000000}" />
<EventID>4625</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>12544</Task>
<Opcode>0</Opcode>
<Keywords>0x8010000000000000</Keywords>
<TimeCreated SystemTime="2012-04-13T06:52:36.499113600Z" />
<EventRecordID>467553</EventRecordID>
<Correlation />
<Execution ProcessID="544" ThreadID="596" />
<Channel>Security</Channel>
<Computer>ontheinternet</Computer>
<Security />
</System>
<EventData>
<Data Name="SubjectUserSid">S-1-0-0</Data>
<Data Name="SubjectUserName">-</Data>
<Data Name="SubjectDomainName">-</Data>
<Data Name="SubjectLogonId">0x0</Data>
<Data Name="TargetUserSid">S-1-0-0</Data>
<Data Name="TargetUserName">notauser</Data>
<Data Name="TargetDomainName">MYSERVER-PC</Data>
<Data Name="Status">0xc000006d</Data>
<Data Name="FailureReason">%%2313</Data>
<Data Name="SubStatus">0xc0000064</Data>
<Data Name="LogonType">3</Data>
<Data Name="LogonProcessName">NtLmSsp</Data>
<Data Name="AuthenticationPackageName">NTLM</Data>
<Data Name="WorkstationName">MYSERVER-PC</Data>
<Data Name="TransmittedServices">-</Data>
<Data Name="LmPackageName">-</Data>
<Data Name="KeyLength">0</Data>
<Data Name="ProcessId">0x0</Data>
<Data Name="ProcessName">-</Data>
<Data Name="IpAddress">-</Data>
<Data Name="IpPort">-</Data>
</EventData>
</Event> …我们目前有一台运行在 Windows 2003 上的办公服务器。该服务器托管电子邮件(交换)和活动目录。我们还有两台客户端电脑,它们通过服务器获取互联网连接和配置文件。
服务器当前正在特定域中运行。xxx.companyname.nl。我们的公司名称已更改,我们想将域更改为 xxx.newcompanyname.nl。这是一个复杂的过程(我们最好重新安装?),还是可以轻松完成?
我目前正在为 Dell Venue Pro 11 开发 Windows 8.1 映像,并且在使用 SysPrep 泛化映像时遇到了一些问题。
我不打算将平板电脑放在域中,但是,如果您使用远程桌面从具有非唯一 SID 的平板电脑登录到域服务器,而另一个人也会这样做(相同的 SID,相同的服务器,不同的域帐户) - 这会导致任何问题吗?