none
AD logon fallido auditado RRS feed

  • Pregunta

  • Hola Expertos,

    Le pongo en situacion, deseo poder auditar cuando un usuario del Active directory comete un error en el inicio de sesion de su computadora.

    Bien, he podido ver que es el ID 4625, el caso es que no esta funcionando al 100%

    Me explico, si alguien se conecta via VPN (configurado para acceder con las cuentas de dominio) si hay un error si lo detecta.

    Si es con un pc del dominio, no.

    Adjunto la GPO que tengo puesta (La GPO esta a nivel de Domian controllers), no se si se me esta escapando algo.

    Agradecería alguna idea.

    Gracias

    viernes, 10 de marzo de 2017 11:45

Respuestas

  • Hola Juan Pablo, el problema que tienes es que por omisión, si puede, el sistema utiliza "cached credentials", o sea que trata de autenticar al usuario usando la copia de la contraseña que tiene localmente en el servidor

    La opción que está justo arriba de la que marcas (Auditar eventos de inicio de sesión) entiendo que te serviría pero eso es a nivel de estación, deberías implementarlo en las estaciones de trabajo y no sería centralizado

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Propuesto como respuesta Moderador M lunes, 13 de marzo de 2017 15:56
    • Marcado como respuesta Moderador M miércoles, 15 de marzo de 2017 15:12
    viernes, 10 de marzo de 2017 12:11
    Moderador