none
账户锁定审核安全日志问题 RRS feed

  • 问题

  • 公司使用了Windows Server2016搭建了域控,并且有exchange2016服务器。

    组策略中开启了账号锁定策略,输错5次密码,账号锁定30分钟,现在发现很多账号锁定后,在几台域控上的审核日志中并没有发现该账号登录5次的纪录,并且据用户反应,并没有连续输错5次密码。

    请问如何查到账号被锁定的原因

    2020年9月17日 3:40

全部回复

  • 尊敬的客户,您好,

    首先组策略中开启了账户锁定策略,账户锁定策略为计算机策略并且每个域里面只存在一个账户策略。所以账户策略应该在 default domain policy 里面部署。(默认domain administrator 不会被锁定) 

    确认策略有没有应用成功,我们可以以管理员身份运行CMD,输入gpresult /h C:\report.html查看计算机详情下的策略。如果策略部署正确并且成功应用的话,接下来我们可以检查账户被锁定的问题。

    排查账户锁定的问题,首先需要开启审核策略,具体如下:

    首先我们需要确认所有域控都有开启如下审核策略:

    GPO: Default Domain Controller
    传统审核策略:
    Computer Configuration\Windows settings\security settings\local policies\audit policy
    Audit Account Logon Events – Failure
    Audit Account Management - Success and Failure
    Audit Logon Events – Failure

    或者使用高级审核策略(高级审核策略默认会覆盖传统审核策略):
    Computer Configuration\Windows settings\security settings\Advanced Audit Policy Configuration

    Logon/Logoff:
    Audit Account Lockout – Failure
    Audit Logon – Failure

    Account Logon:
    Audit Kerberos Authentication Service - Failure
    Audit Credential Validation – Failure

    Account Management:
    Audit User Account Management – Success and Failure

    我们可以在域控上运行如下命令强制刷新策略并检查相关审核是否被开启:

    gpupdate /force
    auditpol /get /category:*

    其次确认客户端上开启如下审核策略:
    Computer Configuration\Windows settings\security settings\Advanced Audit Policy Configuration

    Logon/Logoff:
    Audit Logon – Failure

    Account Logon:
    Audit Kerberos Authentication Service - Failure
    Audit Credential Validation – Failure

    审核策略对应的事件ID,我们可以参考:
    https://support.microsoft.com/en-us/help/977519/description-of-security-events-in-windows-7-and-in-windows-server-2008

    审核策略开启后,我们就可以查看客户端和DC上记录的审核日志,然后分析账户被锁定的原因。账号登录的记录只会记录在登录的机器上面。如果是用户登录客户端的话,那么客户端上会记录此用户的登录信息,这个信息不会记录到DC上。

    如有问题,请随时联系我们。

    此致,
    Hannah Xiong

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2020年9月17日 6:35
  • 尊敬的客户,您好!

    我们正在跟踪您所遇到问题的进展,如果您还有任何的问题,请随时联系我们。

    如果上述回复对您有所帮助,您可以标记它们为答复,或者您可以把您自己解决问题的方法分享给我们,这对于有相同问题的其他人将会提供很大的帮助。

    感谢您的理解与支持。


    此致,
    Hannah Xiong

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2020年9月21日 1:23
  • 尊敬的客户,您好!

    请问我们的问题解决了吗?如有任何问题,请回复并告诉我们当前的情况,以便提供进一步的帮助。


    此致,
    Hannah Xiong

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2020年9月23日 2:53