Remove From My Forums

События ID 4624 регистрируются на домен контроллерах в другом AD сайте.

Общие обсуждения
0

Нужно войти
Есть 2 сайта AD:

siteA - 192.168.0.0/24

siteB - 192.168.10.0/24

Есть домен контроллеры:

DCsiteA - Windows server 2008R2

DCsiteB - Windows server 2003R2

Рабочие станции из сайта "siteB", регистрируют события ID 4624 на домен контроллере DCsiteA.

Как можно запретить регистрацию событий ID 4624, для рабочих станций из другого сайта, в котором уже присутствует свой домен контроллер?
- Изменен тип Petko KrushevMicrosoft contingent staff, Moderator 3 марта 2015 г. 8:11
26 февраля 2015 г. 13:19

Ответить

|

Цитировать

Все ответы

0

Нужно войти
А домены в siteA и siteB разные? Предоставляется ли компьютерам из siteB доступ к каким-то сетевым ресурсам (общая папка или IIS) в siteA?

ID 4624 фиксирует, что вход с учётной записью был выполнен успешно. Помимо общего описания есть ещё конкретное описание типа входа, который был зарегистрирован. Если домены разные и если рабочим станциям (пользователям) из сайта siteB необходимо пройти аутентификацию для доступа к каким-то сетевым ресурсам (общая папка или IIS) которые есть только в домене siteA и находятся на DCsiteA - то события с Типом входа 3 (Сетевой вход в систему) на DCsiteA регистрируются правильно.

В любом случае, приведите, пожалуйста, пример события, которое вас беспокоит - будем разбираться.

MCSA
- Изменено ЙоЖыГ 10 марта 2015 г. 20:12 update
10 марта 2015 г. 18:51

Ответить

|

Цитировать
0

Нужно войти

Домен для siteA и siteB - один.

В сайте siteA находится sharepoint портал и некоторые общие папки, на которые подключаются пользователи из сайта siteB.

Событие:

EventID            : 4624
MachineName        : DCsiteA.domain.com
Data               : {}
Index              : -1695951707
Category           : (12544)
CategoryNumber     : 12544
EntryType          : SuccessAudit
Message            : An account was successfully logged on.

                     Subject:
                         Security ID:        S-1-0-0
                         Account Name:        -
                         Account Domain:        -
                         Logon ID:        0x0

                     Logon Type:            3

                     New Logon:
                         Security ID:        S-1-5-21-2980443869-3738995738-2763151176-6256
                         Account Name:        CLIENT0019$
                         Account Domain:        DOMAIN
                         Logon ID:        0x7c60cb87
                         Logon GUID:        {2D1A787B-660F-BF03-9C6B-A22011B9185A}

                     Process Information:
                         Process ID:        0x0
                         Process Name:        -

                     Network Information:
                         Workstation Name:
                         Source Network Address:    192.168.10.96
                         Source Port:        1955

                     Detailed Authentication Information:
                         Logon Process:        Kerberos
                         Authentication Package:    Kerberos
                         Transited Services:    -
                         Package Name (NTLM only):    -
                         Key Length:        0

                     This event is generated when a logon session is created. It is generated on the computer
                      that was accessed.

                     The subject fields indicate the account on the local system which requested the logon. T
                     his is most commonly a service such as the Server service, or a local process such as Wi
                     nlogon.exe or Services.exe.

                     The logon type field indicates the kind of logon that occurred. The most common types ar
                     e 2 (interactive) and 3 (network).

                     The New Logon fields indicate the account for whom the new logon was created, i.e. the a
                     ccount that was logged on.

                     The network fields indicate where a remote logon request originated. Workstation name is
                      not always available and may be left blank in some cases.

                     The authentication information fields provide detailed information about this specific l
                     ogon request.
                         - Logon GUID is a unique identifier that can be used to correlate this event with a
                     KDC event.
                         - Transited services indicate which intermediate services have participated in this
                     logon request.
                         - Package name indicates which sub-protocol was used among the NTLM protocols.
                         - Key length indicates the length of the generated session key. This will be 0 if no
                      session key was requested.
Source             : Microsoft-Windows-Security-Auditing
ReplacementStrings : {S-1-0-0, -, -, 0x0...}
InstanceId         : 4624
TimeGenerated      : 13.03.2015 16:55:25
TimeWritten        : 13.03.2015 16:55:25
UserName           :
Site               :
Container          :

13 марта 2015 г. 15:01

Ответить

|

Цитировать