Bagaimana untuk mengesan yang memadamkan akaun komputer dalam Active Directory - Bagaimana Untuk

Bagaimana untuk mengesan yang memadamkan akaun komputer dalam Active Directory

Pengguna akaun komputer yang telah dipadamkan secara tiba-tiba dalam Active Directory menjadi tidak dapat log masuk ke sistem IT menggunakan pengesahan domain. Mereka yang sudah log masuk kerana penghapusan itu mungkin mengalami masalah mengakses e-mel, SharePoint, SQL Server, folder kongsi, atau perkhidmatan lain. Kesemua akibat ini boleh menyebabkan beban tambahan pada bahu kakitangan IT.

Jumlah 5 Langkah

Langkah 1: Dayakan Tetapan Pengawasan Dasar Kumpulan

Jalankan GPMC.msc → edit "Dasar Domain Default" → Konfigurasi Komputer → Dasar → Tetapan Windows → Tetapan Keselamatan:
Dasar Tempatan → Dasar Audit → Pengurusan akaun audit → Tentukan → Kejayaan

Langkah 2: Konfigurasi Tetapan Log Acara

Konfigurasi Komputer → Dasar → Tetapan Windows → Tetapan Keselamatan: Log Peristiwa → Tentukan → Saiz log keselamatan maksimum kepada 1gb dan Kaedah penahan untuk log keselamatan untuk menindih peristiwa seperti yang diperlukan.

Langkah 3: Mengkonfigurasi Tetapan Audit Tahap Objek melalui ADSI Edit

Buka ADSI Edit → Sambungkan ke konteks penamaan default → klik kanan "DC = nama domain" → Properties → Security (Tab) → Advanced → Auditing (Tab) → Klik "Tambah" → Pilih tetapan berikut:
Pengetua: Semua orang; Jenis: Kejayaan; Berlaku untuk: Objek ini dan semua objek keturunan; Kebenaran: Padam, Padam subtree, Tulis semua sifat → Klik "OK".

Langkah 4: Log Acara Penapis

Untuk menentukan akaun komputer apa yang telah dipadam dan yang melakukan itu, penapis Log Acara Keselamatan untuk ID Peristiwa 4743.

Langkah 5: Kes Penggunaan Nyata Nyata

https://www.youtube.com/watch?v=UDW4GS_WHg8

Pemadaman akaun komputer akan mula menjejaki hanya selepas anda mengkonfigurasi semua tetapan audit.