lordnicon79
Goto Top

DC (server2008R2) gibt keine EventID 4740 bei Kontosperrung raus.

Hi,

ich suche schon was länger nach einer Lösung mit live eien Mail zuschicken zu lassen, wenn in einer Domäne ein Konto gesperrt (nicht disabled!!)wird.

Testumgebung:
2 DCs Srv2008R2
2 clients Win7 (dom. clients)

Das Auditing habe ich bereit über die GPOs an die DCs übergeben: (siehe Bild)

Die GPOs sind erfolgreich auf den DCs angewendet.

Nun melde ich mich 5x hintereinander falsch, an einem der Clients, an damit mein Konto gesperrt wird. (Kontosperrungsrichtlinie)
Kontrolle unter AD Benutzer und Comp. = ja das Konto ist gesperrt!

Auf dem Client wird im Securitylog die Eventid 4625 hinterlegt.
Ich möchte aber das es auf dem DC einen Eintrag im Security Log gibt. Dies sollte über die ID 4740 (logged) und 4767 (unlogged) geschehen.
Ich bekomme es aber einfach nicht hin, dass dort dieses Event /diese ID auftaucht.

Hat einer von Euch eine Idee ?
Ich habe schon einiges probiert und viele Googles gefragt, aber es geht einfach nicht.


(ich habe kurzehand einen einzelnen DC 2012R2 aufgesetzt und einen client angemeldet. Wenn ich das da alles eintrage, dann erhalte ich auch diese ID im Eventlog.
Es gibt keine andere Einstellung zwischen dem 2012R2 und dem 2008R2. )


Danke schon mal
...
Gruß
unbenannt

Content-ID: 338639

Url: https://administrator.de/forum/dc-server2008r2-gibt-keine-eventid-4740-bei-kontosperrung-raus-338639.html

Ausgedruckt am: 23.12.2024 um 10:12 Uhr

DerWoWusste
Lösung DerWoWusste 23.05.2017 aktualisiert um 11:59:55 Uhr
Goto Top
Hi.

Per default wird das geloggt - ohne weiteres Zutun und auch schon auf 2008 R2. Evtl. verhindern andere Policies, die enforced sind, das Logging. Benutze an einem der DCs mal gpresult /h undn schau, was dort wirkt.
LordNicon79
LordNicon79 23.05.2017 um 12:59:30 Uhr
Goto Top
das Ding bin ich schon grad zwei mal durch gegangen.
ich habe die GPO für die Überwachung auf Platz 1 vor der Domain Controller Policy gesetzt.
ich probier gleich mal , ob es sich ändert wenn ich es in der Domain controller Policy direkt änder.(aber eigentlich möchte ich eine eigene GPO dafür haben!)
ich habe noch mal zwei bilder angehängt aus dem gpresult /h

Die GPO habe ich im übrigen nur unter Domain Controllers abgelegt. Es sollte ja auch nur bei den DCs reichen!
lokale überwachungsrichtlinie
erweiterte überwachungsrichtlinie