|
在Windwos AD域中,多个域帐户莫名其妙地被禁用了,却不知道是什么原因,有什么方法查看原因呢? 一、先确定禁用帐户安全事件的ID号 一个域帐户被禁用时,会生成一个ID:4725的事件,并对应在Windwos的安全日志中生成一条记录,可以查到。可以查看《windows安全事件查看及安全事件id汇总》,每一个ID号都有一个安全的事件与之对应。
安全事件ID详细的对应内容,请参考https://blog.csdn.net/qq_45825991/article/details/115577680 二、启动审核策略 要想在安全日志产生对应的安全事件记录,需要在默认的域策略中的审核策略中启用“审核帐户管理”。配置如下:
有时候做过上述配置后,在安全日志中还是不会产生帐户禁用事件ID:4725的记录,比如 ,你域中安装过Exchange应用时,此时我们查看默认域策略中另外一个位置的配置:高级审核策略配置,如下图:
这个位置处的“审核用户帐户管理”未配置。我们再对此处的“审核用户帐户管理”配置如下:
此时,域中再有禁用帐户的事件发生,Windows 安全日志是就会有ID:4725日志记录。 三、根据安全事件ID:4725的日志记录,查看当前的域帐户被谁禁用 登陆AD域中的DC服务器,在Windows 安全日志中,查找ID:4725的记录。
查看记录的详细内容,可以查到当前的域帐户是被哪个域帐户禁用的。
帐户状态:已禁用用户帐户 使用者:就是禁用当前域帐户的域帐户
目标帐户:就是被禁用的当前域帐户。 |
|
|
来自: tycoondeng > 《AD域》
