none
События ID 4624 регистрируются на домен контроллерах в другом AD сайте. RRS feed

  • Общие обсуждения

  • Есть 2 сайта AD:

    siteA - 192.168.0.0/24

    siteB - 192.168.10.0/24

    Есть домен контроллеры:

    DCsiteA - Windows server 2008R2

    DCsiteB - Windows server 2003R2

    Рабочие станции из сайта "siteB", регистрируют события ID 4624 на домен контроллере DCsiteA.

    Как можно запретить регистрацию событий ID 4624, для рабочих станций из другого сайта, в котором уже присутствует свой домен контроллер?

    26 февраля 2015 г. 13:19

Все ответы

  • А домены в siteA и siteB разные? Предоставляется ли компьютерам из siteB доступ к каким-то сетевым ресурсам (общая папка или IIS) в siteA?

    ID 4624 фиксирует, что вход с учётной записью был выполнен успешно. Помимо общего описания есть ещё конкретное описание типа входа, который был зарегистрирован. Если домены разные и если рабочим станциям (пользователям) из сайта siteB необходимо пройти аутентификацию для доступа к каким-то сетевым ресурсам (общая папка или  IIS) которые есть только в домене siteA и находятся на DCsiteA - то события с Типом входа 3 (Сетевой вход в систему) на DCsiteA регистрируются правильно.

    В любом случае, приведите, пожалуйста, пример события, которое вас беспокоит - будем разбираться.


    MCSA








    • Изменено ЙоЖыГ 10 марта 2015 г. 20:12 update
    10 марта 2015 г. 18:51
  • Домен для siteA и siteB - один.

    В сайте siteA находится sharepoint портал и некоторые общие папки, на которые подключаются пользователи из сайта siteB.

    Событие:

    EventID            : 4624
    MachineName        : DCsiteA.domain.com
    Data               : {}
    Index              : -1695951707
    Category           : (12544)
    CategoryNumber     : 12544
    EntryType          : SuccessAudit
    Message            : An account was successfully logged on.

                         Subject:
                             Security ID:        S-1-0-0
                             Account Name:        -
                             Account Domain:        -
                             Logon ID:        0x0

                         Logon Type:            3

                         New Logon:
                             Security ID:        S-1-5-21-2980443869-3738995738-2763151176-6256
                             Account Name:        CLIENT0019$
                             Account Domain:        DOMAIN
                             Logon ID:        0x7c60cb87
                             Logon GUID:        {2D1A787B-660F-BF03-9C6B-A22011B9185A}

                         Process Information:
                             Process ID:        0x0
                             Process Name:        -

                         Network Information:
                             Workstation Name:
                             Source Network Address:    192.168.10.96
                             Source Port:        1955

                         Detailed Authentication Information:
                             Logon Process:        Kerberos
                             Authentication Package:    Kerberos
                             Transited Services:    -
                             Package Name (NTLM only):    -
                             Key Length:        0

                         This event is generated when a logon session is created. It is generated on the computer
                          that was accessed.

                         The subject fields indicate the account on the local system which requested the logon. T
                         his is most commonly a service such as the Server service, or a local process such as Wi
                         nlogon.exe or Services.exe.

                         The logon type field indicates the kind of logon that occurred. The most common types ar
                         e 2 (interactive) and 3 (network).

                         The New Logon fields indicate the account for whom the new logon was created, i.e. the a
                         ccount that was logged on.

                         The network fields indicate where a remote logon request originated. Workstation name is
                          not always available and may be left blank in some cases.

                         The authentication information fields provide detailed information about this specific l
                         ogon request.
                             - Logon GUID is a unique identifier that can be used to correlate this event with a
                         KDC event.
                             - Transited services indicate which intermediate services have participated in this
                         logon request.
                             - Package name indicates which sub-protocol was used among the NTLM protocols.
                             - Key length indicates the length of the generated session key. This will be 0 if no
                          session key was requested.
    Source             : Microsoft-Windows-Security-Auditing
    ReplacementStrings : {S-1-0-0, -, -, 0x0...}
    InstanceId         : 4624
    TimeGenerated      : 13.03.2015 16:55:25
    TimeWritten        : 13.03.2015 16:55:25
    UserName           :
    Site               :
    Container          :

    13 марта 2015 г. 15:01