none
В журнале безопасности не отображатся событие 4740 RRS feed

  • Вопрос

  • В общем, проблема такая. Есть настройки групповой политики для отображения блокировки учетных данных

    gpresult указывает, что политика применена. Auditpol настройки политики аудита показывает верные. Но как только пытаюсь заблокировать учетную запись, путем внесения неправильного пароля, то в журнале безопасности доменконтроллера нет записи о событии 4740, но есть 4625

    Пробовал удалить audit.csv в \system32\grouppolicy\machine\microsoft\windows nt\audit\ и по новой обновить политку, но результат тот же. В чем может быть проблема?

    15 февраля 2019 г. 7:29

Ответы

  • Лучше используйте расширенные настройки. Там и управление гибче будет. Базовые вообще не трогайте.
    • Помечено в качестве ответа Meneveydden 18 февраля 2019 г. 12:22
    15 февраля 2019 г. 14:38

Все ответы

  • В политике включаются следующие параметры, как я понимаю?

    Аудит управления учетными записями компьютеров     - Успех
    Аудит управления группами безопасности     - Успех
    Аудит управления учетными записями пользователей

        - Успех

    На всякий случай спрошу, в делегировании политики фигурируют на чтение "Прошедшие проверку"?

    Единственный момент, когда я на OU Domain Controllers распространял, у меня заработали события только после перезагрузки контроллеров.


    • Изменено DmitryG_ 15 февраля 2019 г. 7:37
    15 февраля 2019 г. 7:35
  • Параметры выглядят следующим образом

    Параметры безопасности

    Локальные политики/Политика аудита
    Политика Параметр
    Аудит входа в систему Отказ
    Аудит доступа к объектам Отказ
    Аудит доступа к службе каталогов Успех, отказ
    Аудит изменения политики Успех, отказ
    Аудит использования привилегий Успех, отказ
    Аудит отслеживания процессов Успех, отказ
    Аудит системных событий Отказ
    Аудит событий входа в систему Отказ
    Аудит управления учетными записями Отказ

    Конфигурация расширенного аудита
    Вход/выход
    Политика Параметр
    Аудит блокировки учетных записей Успех, отказ
    Аудит входа в систему Отказ

    В делегирование нет "Прошедшие проверку". Это обязательно ставить?

    • Изменено Meneveydden 15 февраля 2019 г. 7:42
    15 февраля 2019 г. 7:39
  • Перезагрузите один из контроллеров и проверьте. У меня проблема была именно в этом
    15 февраля 2019 г. 7:42
  • Перезагружали, ничего не поменялось. Но попробуем еще раз, вдруг поможет
    15 февраля 2019 г. 7:45
  • Перезагружали, ничего не поменялось. Но попробуем еще раз, вдруг поможет

    Я думаю, одного раза было бы достаточно. Не логируется аудит ни успеха, ни отказа? Или всё же что-то из подключенных логов прилетает в журналы?
    15 февраля 2019 г. 8:26
  • Лог отказа входа в систему, это событие 4625, приходит. 10 раз неправильно ввел пароль, 10 событий 4625, потом учетка блокируется, но события 4740 в журнале нет 
    15 февраля 2019 г. 11:26
  • На какой OU привязаны политики? В политике включен следующий параметр?

    Аудит: принудительно устанавливать параметры подкатегории политики аудита и переопределять параметры категории политики аудита.

    Используете параметры "Конфигурация расширенной политики аудита"?




     
    15 февраля 2019 г. 13:06
  • Параметры выглядят следующим образом

    Параметры безопасности

    Локальные политики/Политика аудита
    Политика Параметр
    Аудит входа в систему Отказ
    Аудит доступа к объектам Отказ
    Аудит доступа к службе каталогов Успех, отказ
    Аудит изменения политики Успех, отказ
    Аудит использования привилегий Успех, отказ
    Аудит отслеживания процессов Успех, отказ
    Аудит системных событий Отказ
    Аудит событий входа в систему Отказ
    Аудит управления учетными записями Отказ

    Конфигурация расширенного аудита
    Вход/выход
    Политика Параметр
    Аудит блокировки учетных записей Успех, отказ
    Аудит входа в систему Отказ

    В делегирование нет "Прошедшие проверку". Это обязательно ставить?

    Стоп! Вы используете и те, и те параметры? "Конфигурация расширенной политики аудита" и "обычные". Тут если мне память не изменяет и могут быть проблемы.


    • Изменено avalanche714 15 февраля 2019 г. 13:10
    15 февраля 2019 г. 13:08
  • попробую попереключать в разных вариациях. Но изначально расширенные настройки не трогали, но все равно нужные события в логи не шли
    15 февраля 2019 г. 13:23
  • Лучше используйте расширенные настройки. Там и управление гибче будет. Базовые вообще не трогайте.
    • Помечено в качестве ответа Meneveydden 18 февраля 2019 г. 12:22
    15 февраля 2019 г. 14:38