Wie aktiviere ich Überwachungsfehlerprotokolle in Active Directory?

8

Ich habe ein Benutzerkonto, das immer wieder gesperrt wird. Ich versuche herauszufinden, was es verursacht hat. Daher möchte ich zunächst Fehlerprüfungen in der Ereignisanzeige aktivieren. Aber ich weiß nicht wie!

Wie aktiviere ich Überwachungsfehler so, dass sie in der Ereignisanzeige des Domänencontrollers unter Windows-Protokolle> Sicherheit angezeigt werden?

Die Schritte, die ich bisher gemacht habe:

  • Wechseln Sie im Domänencontroller zu Gruppenrichtlinienverwaltungs-Editor> Standarddomänenrichtlinie (verknüpft)> Computerkonfiguration> Richtlinien> Windows-Einstellungen> Sicherheitseinstellungen> Lokale Richtlinien> Überwachungsrichtlinie
  • Setzen Sie die Anmeldeereignisse des Überwachungskontos, den Zugriff auf Verzeichnisdienste und die Anmeldeereignisse auf "Fehler". Die Kontoverwaltung ist bereits auf "Erfolg, Misserfolg" eingestellt.
  • Starten Sie im DC die Eingabeaufforderung und geben Sie gpupdate ein.

Das Ereignisprotokoll zeigt weiterhin nur den Überwachungserfolg an, obwohl überprüft werden kann, ob mein Benutzerkonto alle paar Minuten eine falsche Kennwortanzahl erhält.

Jake
quelle
Du warst so nah! Siehe die erste Antwort unten.
SturdyErde

Antworten:

9

Führen Sie dies in der Richtlinie "Standarddomänencontroller" aus, um sie auf die Domänencontroller anzuwenden

MichelZ
quelle
AH ... hätte es wissen sollen!
Jake
8

Beachten Sie, dass Sie in Win2008-Servern und höher die Optionen "Erweiterte Überwachungsrichtlinienkonfiguration" im Gruppenrichtlinienobjekt verwenden müssen. Siehe Screenshot:

Bildschirmfoto

KERR
quelle
2

Ja, Sie müssen die Standardrichtlinie für Domänencontroller bearbeiten. Andernfalls müssen Sie ein neues Gruppenrichtlinienobjekt erstellen und es mit der Organisationseinheit Domänencontroller verknüpfen. Sobald Sie dies auf eine dieser beiden Arten getan haben, müssen Sie die Ereignisse zur Benutzerkontenverwaltung überwachen

4740 - für ausgesperrt.

4767 - für entsperrt.

In diesem Artikel http://www.morgantechspace.com/2013/08/how-to-enable-active-directory-change.html erfahren Sie, wie Sie die Überwachung in Active Directory aktivieren

und für die vollständige Ereignis-ID-Liste http://www.morgantechspace.com/2013/08/active-directory-change-audit-events.html

Kombaiah M.
quelle
0

Wenn Sie die Überwachung in Active Directory aktivieren / deaktivieren müssen, müssen Sie die Standardrichtlinie des Domänencontrollers und nicht die Domänenrichtlinie ändern. Dies liegt daran, dass die Überwachung auf den Domänencontrollern durchgeführt wird und die Standardrichtlinie des Domänencontrollers die Richtlinie für Domänencontroller regelt.

AntoineF
quelle
0

Abhängig von Ihrer AD-Funktionsstufe. Für eine Windows 2003 Ad-Funktionsebene müssen die Überwachungsrichtlinien wie folgt konfiguriert werden: @Jake sagte, dies sind grundlegende Überwachungsrichtlinien. Wenn es um Windows 2008 oder höher geht, haben Sie bereits grundlegende Überwachungsrichtlinien und Microsfot hat eine komplexere / detailliertere Überwachungsvariante hinzugefügt (Advanced Avanced Security Audit Policy) .

Wie @Kombaiah M sagte,

Sie müssen die Standardrichtlinie für Domänencontroller bearbeiten, andernfalls müssen Sie ein neues Gruppenrichtlinienobjekt erstellen und es mit der Organisationseinheit Domänencontroller verknüpfen

Seien Sie vorsichtig beim Aktivieren der grundlegenden und erweiterten Überwachungsrichtlinien, da Sie unvorhersehbare Ergebnisse erzielen ( besondere Überlegungen ).

Um die vom Benutzer gesperrten Konten zu identifizieren, sollten Sie berücksichtigen, dass sich die Ereignis-IDs in Anbetracht der AD-Funktionsebene unterscheiden. Wie @Kombaiah M hervorhob, sind die Ereignis-IDs für w2k8

4740 - für ausgesperrt.

4767 - für entsperrt.

Wenn Sie noch w2k3-Domänencontroller haben, unterscheiden sich die Ereignis-IDs von den oben genannten:

Benutzerkonto gesperrt

Benutzerkonto entsperrt

Hier haben Sie ein ziemlich interessantes Dokument Video: Auditing vs Advanced Auditing Konfigurationen über Advanced Audit Conf.

fedayn
quelle