mabies
Goto Top

Server2016: Audit logs?

Hallo,
habe das Account locking eingeschaltet & mein Domänenadmin-PW geändert.
Nun fliegt mein Haupt-Domänenadmin nach eingen Minuten raus wg. 'Account locked wg. zu vielen falschen Anmeldeversuchen'.
Also habe ich auf dem DC das Logging nach Anleitung in der GPO diffizil eingeschaltet.
Nur: wo sind die verda.... Logs m Windows zu finden?

Habe auch ein Tool bemüht: NETWRIX Account lockout. Das zeigt mir auch brav den gelockten account, nur bietet es mir keinen schuldigen Computer...

Hilfe...

Content-ID: 384645

Url: https://administrator.de/contentid/384645

Ausgedruckt am: 05.11.2024 um 18:11 Uhr

colinardo
Lösung colinardo 28.08.2018 aktualisiert um 11:32:10 Uhr
Goto Top
Servus.
habe das Account locking eingeschaltet & mein Domänenadmin-PW geändert.
Schön wenn man sich den Ast absägt auf dem man sitzt, gell face-smile.
Nur: wo sind die verda.... Logs m Windows zu finden?
Im Security Eventlogs mit der ID 4740, aber nur wenn du die passende Kategorie für das Logging auch aktivierst, siehe:
ActiveDirectory Benachrichtigung

Ich schätze mal ein Skript mit den alten Creds im Taskplaner eines Servers oder sonst einer WS hinterlegt. In dem Fall dringend auf Managed-Service-Accounts switchen und Domain-Admin Loggin's nur auf vertrauenswürdige Maschinen/Server einschränken! Never ever sollte man Domain Admin Accounts an irgendwelchen Workstations benutzen an denen normale User sitzen.

Grüße Uwe