Server2016: Audit logs?
Hallo,
habe das Account locking eingeschaltet & mein Domänenadmin-PW geändert.
Nun fliegt mein Haupt-Domänenadmin nach eingen Minuten raus wg. 'Account locked wg. zu vielen falschen Anmeldeversuchen'.
Also habe ich auf dem DC das Logging nach Anleitung in der GPO diffizil eingeschaltet.
Nur: wo sind die verda.... Logs m Windows zu finden?
Habe auch ein Tool bemüht: NETWRIX Account lockout. Das zeigt mir auch brav den gelockten account, nur bietet es mir keinen schuldigen Computer...
Hilfe...
habe das Account locking eingeschaltet & mein Domänenadmin-PW geändert.
Nun fliegt mein Haupt-Domänenadmin nach eingen Minuten raus wg. 'Account locked wg. zu vielen falschen Anmeldeversuchen'.
Also habe ich auf dem DC das Logging nach Anleitung in der GPO diffizil eingeschaltet.
Nur: wo sind die verda.... Logs m Windows zu finden?
Habe auch ein Tool bemüht: NETWRIX Account lockout. Das zeigt mir auch brav den gelockten account, nur bietet es mir keinen schuldigen Computer...
Hilfe...
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 384645
Url: https://administrator.de/contentid/384645
Ausgedruckt am: 05.11.2024 um 18:11 Uhr
1 Kommentar
Servus.
ActiveDirectory Benachrichtigung
Ich schätze mal ein Skript mit den alten Creds im Taskplaner eines Servers oder sonst einer WS hinterlegt. In dem Fall dringend auf Managed-Service-Accounts switchen und Domain-Admin Loggin's nur auf vertrauenswürdige Maschinen/Server einschränken! Never ever sollte man Domain Admin Accounts an irgendwelchen Workstations benutzen an denen normale User sitzen.
Grüße Uwe
habe das Account locking eingeschaltet & mein Domänenadmin-PW geändert.
Schön wenn man sich den Ast absägt auf dem man sitzt, gell .Nur: wo sind die verda.... Logs m Windows zu finden?
Im Security Eventlogs mit der ID 4740, aber nur wenn du die passende Kategorie für das Logging auch aktivierst, siehe:ActiveDirectory Benachrichtigung
Ich schätze mal ein Skript mit den alten Creds im Taskplaner eines Servers oder sonst einer WS hinterlegt. In dem Fall dringend auf Managed-Service-Accounts switchen und Domain-Admin Loggin's nur auf vertrauenswürdige Maschinen/Server einschränken! Never ever sollte man Domain Admin Accounts an irgendwelchen Workstations benutzen an denen normale User sitzen.
Grüße Uwe