2
DC (server2008R2) gibt keine EventID 4740 bei Kontosperrung raus.
Hi,
ich suche schon was länger nach einer Lösung mit live eien Mail zuschicken zu lassen, wenn in einer Domäne ein Konto gesperrt (nicht disabled!!)wird.
Testumgebung:
2 DCs Srv2008R2
2 clients Win7 (dom. clients)
Das Auditing habe ich bereit über die GPOs an die DCs übergeben: (siehe Bild)
Die GPOs sind erfolgreich auf den DCs angewendet.
Nun melde ich mich 5x hintereinander falsch, an einem der Clients, an damit mein Konto gesperrt wird. (Kontosperrungsrichtlinie)
Kontrolle unter AD Benutzer und Comp. = ja das Konto ist gesperrt!
Auf dem Client wird im Securitylog die Eventid 4625 hinterlegt.
Ich möchte aber das es auf dem DC einen Eintrag im Security Log gibt. Dies sollte über die ID 4740 (logged) und 4767 (unlogged) geschehen.
Ich bekomme es aber einfach nicht hin, dass dort dieses Event /diese ID auftaucht.
Hat einer von Euch eine Idee ?
Ich habe schon einiges probiert und viele Googles gefragt, aber es geht einfach nicht.
(ich habe kurzehand einen einzelnen DC 2012R2 aufgesetzt und einen client angemeldet. Wenn ich das da alles eintrage, dann erhalte ich auch diese ID im Eventlog.
Es gibt keine andere Einstellung zwischen dem 2012R2 und dem 2008R2. )
Danke schon mal
...
Gruß
ich suche schon was länger nach einer Lösung mit live eien Mail zuschicken zu lassen, wenn in einer Domäne ein Konto gesperrt (nicht disabled!!)wird.
Testumgebung:
2 DCs Srv2008R2
2 clients Win7 (dom. clients)
Das Auditing habe ich bereit über die GPOs an die DCs übergeben: (siehe Bild)
Die GPOs sind erfolgreich auf den DCs angewendet.
Nun melde ich mich 5x hintereinander falsch, an einem der Clients, an damit mein Konto gesperrt wird. (Kontosperrungsrichtlinie)
Kontrolle unter AD Benutzer und Comp. = ja das Konto ist gesperrt!
Auf dem Client wird im Securitylog die Eventid 4625 hinterlegt.
Ich möchte aber das es auf dem DC einen Eintrag im Security Log gibt. Dies sollte über die ID 4740 (logged) und 4767 (unlogged) geschehen.
Ich bekomme es aber einfach nicht hin, dass dort dieses Event /diese ID auftaucht.
Hat einer von Euch eine Idee ?
Ich habe schon einiges probiert und viele Googles gefragt, aber es geht einfach nicht.
(ich habe kurzehand einen einzelnen DC 2012R2 aufgesetzt und einen client angemeldet. Wenn ich das da alles eintrage, dann erhalte ich auch diese ID im Eventlog.
Es gibt keine andere Einstellung zwischen dem 2012R2 und dem 2008R2. )
Danke schon mal
...
Gruß
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 338639
Url: https://administrator.de/contentid/338639
Printed on: April 27, 2024 at 09:04 o'clock
2 Comments
Latest comment
Hi.
Per default wird das geloggt - ohne weiteres Zutun und auch schon auf 2008 R2. Evtl. verhindern andere Policies, die enforced sind, das Logging. Benutze an einem der DCs mal gpresult /h undn schau, was dort wirkt.
Per default wird das geloggt - ohne weiteres Zutun und auch schon auf 2008 R2. Evtl. verhindern andere Policies, die enforced sind, das Logging. Benutze an einem der DCs mal gpresult /h undn schau, was dort wirkt.
das Ding bin ich schon grad zwei mal durch gegangen.
ich habe die GPO für die Überwachung auf Platz 1 vor der Domain Controller Policy gesetzt.
ich probier gleich mal , ob es sich ändert wenn ich es in der Domain controller Policy direkt änder.(aber eigentlich möchte ich eine eigene GPO dafür haben!)
ich habe noch mal zwei bilder angehängt aus dem gpresult /h
Die GPO habe ich im übrigen nur unter Domain Controllers abgelegt. Es sollte ja auch nur bei den DCs reichen!
ich habe die GPO für die Überwachung auf Platz 1 vor der Domain Controller Policy gesetzt.
ich probier gleich mal , ob es sich ändert wenn ich es in der Domain controller Policy direkt änder.(aber eigentlich möchte ich eine eigene GPO dafür haben!)
ich habe noch mal zwei bilder angehängt aus dem gpresult /h
Die GPO habe ich im übrigen nur unter Domain Controllers abgelegt. Es sollte ja auch nur bei den DCs reichen!