none
Group Policy 에서 Audit account logon event Policy RRS feed

답변

  • 안녕하십니까? 김도남 님

    Microsoft TechNet Forum 사이트를 방문해 주셔서 감사합니다.

     

    문의 하신 “Group Policy 에서  Audit account logon event Policy”에 대한 답변을 드리겠습니다.

     

     

    Step 1 : Audit account logon event Policy 활성화

     

    Audit account logon event Policy 활성화

     

    1.     시작 -> 실행 -> gpmc.msc를 입력 후 실행합니다.

     

    2.     Domain에 적용된 GPO를 우 클릭 후 Edit를 실행을 합니다.

     

    3.     좌측 패널에서 Computer Configuration -> Windows Settings -> Security Settings -> local Policies -> Audit Policy 노드를 선택을 합니다.

     

    4.     우측 패널에서 Audit Account logon event Policy 를 활성화 합니다.

     

     

     

    Step 2 : Event ID

     

    Audit Account logon Event Policy와 관련된 이벤트입니다.

     

    Event ID

    Description

    4776

    DC가 계정 유효성 검사를 시도

    4777

    DC가 계정 유효성 검사 실패

    4768

    Kerberos 인증 티켓(TGT) 요청 받음

    4769

    Kerberos 서비스 티켓 요청 받음

    4770

    Kerberos 서비스 티켓 갱신

     

     

     

    Step 3 : 확인

     

     

    Audit account event logon 로그

     

    1.     시작 –> 실행 -> eventvwr.msc를 입력 후 실행합니다.

     

    2.     좌측 패널에서 Windows Logs -> Security 노드를 우 클릭 후 Filter Current Log를 실행을 합니다.

     

    3.     Event ID 입력란에 아래와 같이 입력후 OK를 클릭을 합니다.

     

    4776,4777,4768,4769,4770

     

     

     

    특정 유저 TGT 요청 이벤트 로그

     

    1.     시작 –> 실행 -> eventvwr.msc를 입력 후 실행합니다.

     

    2.     좌측 패널에Windows Logs -> Security 노드를 우 클릭 후 Filter Current Log를 실행을 합니다.

     

    3.     XML 탭으로 이동을 한후 Edit Filter Manually체크박스를 체크 합니다.

     

    4.     아래와 같이 전경색이 있는 부분에 임의로 작성 후 Edit 박스에 입력 합니다.
     
    <QueryList>

      <Query Id="0" Path="Security">

        <Select Path="Security">*[System[(EventID=4768)]] and *[EventData[Data[@Name='TargetUserName'] and (Data='<Sam Account Name>')]]</Select>

      </Query>

    </QueryList>

     

     

    )Sam Account Name : User11

     

     

    Step 4 : Event

     

    Event ID 4768

     

     

    User11 TGT 티켓을 요청한 것을 알 수 있습니다.

     

    참고 자료

     

    Description of security events in Windows Vista and in Windows Server 2008

    http://support.microsoft.com/kb/947226

     

    Audit account logon events

    http://technet.microsoft.com/en-us/library/cc787176(WS.10).aspx

     

    제가 문제에 대해 더 알아야 할 것이 있다면 응답 주시면 감사하겠습니다.

    제시해 드린 답변이 도움이 되었기를 바랍니다.

    • 답변으로 표시됨 김도남 2011년 12월 2일 금요일 오전 6:26
    2011년 11월 8일 화요일 오전 9:26
    중재자