Server2016: Audit logs?
Hallo,
habe das Account locking eingeschaltet & mein Domänenadmin-PW geändert.
Nun fliegt mein Haupt-Domänenadmin nach eingen Minuten raus wg. 'Account locked wg. zu vielen falschen Anmeldeversuchen'.
Also habe ich auf dem DC das Logging nach Anleitung in der GPO diffizil eingeschaltet.
Nur: wo sind die verda.... Logs m Windows zu finden?
Habe auch ein Tool bemüht: NETWRIX Account lockout. Das zeigt mir auch brav den gelockten account, nur bietet es mir keinen schuldigen Computer...
Hilfe...
habe das Account locking eingeschaltet & mein Domänenadmin-PW geändert.
Nun fliegt mein Haupt-Domänenadmin nach eingen Minuten raus wg. 'Account locked wg. zu vielen falschen Anmeldeversuchen'.
Also habe ich auf dem DC das Logging nach Anleitung in der GPO diffizil eingeschaltet.
Nur: wo sind die verda.... Logs m Windows zu finden?
Habe auch ein Tool bemüht: NETWRIX Account lockout. Das zeigt mir auch brav den gelockten account, nur bietet es mir keinen schuldigen Computer...
Hilfe...
Please also mark the comments that contributed to the solution of the article
Content-Key: 384645
Url: https://administrator.de/contentid/384645
Printed on: April 26, 2024 at 13:04 o'clock
1 Comment
Servus.
ActiveDirectory Benachrichtigung
Ich schätze mal ein Skript mit den alten Creds im Taskplaner eines Servers oder sonst einer WS hinterlegt. In dem Fall dringend auf Managed-Service-Accounts switchen und Domain-Admin Loggin's nur auf vertrauenswürdige Maschinen/Server einschränken! Never ever sollte man Domain Admin Accounts an irgendwelchen Workstations benutzen an denen normale User sitzen.
Grüße Uwe
habe das Account locking eingeschaltet & mein Domänenadmin-PW geändert.
Schön wenn man sich den Ast absägt auf dem man sitzt, gell .Nur: wo sind die verda.... Logs m Windows zu finden?
Im Security Eventlogs mit der ID 4740, aber nur wenn du die passende Kategorie für das Logging auch aktivierst, siehe:ActiveDirectory Benachrichtigung
Ich schätze mal ein Skript mit den alten Creds im Taskplaner eines Servers oder sonst einer WS hinterlegt. In dem Fall dringend auf Managed-Service-Accounts switchen und Domain-Admin Loggin's nur auf vertrauenswürdige Maschinen/Server einschränken! Never ever sollte man Domain Admin Accounts an irgendwelchen Workstations benutzen an denen normale User sitzen.
Grüße Uwe