針對帳號鎖定進行問題分析如下:
特別是 4740
備註:若要搜尋與帳號鎖定相關的事件記錄,以下是 Windows Server 2003 與 Windows Server 2008 的相關事件編號與相關描述。
| Event ID (Win2k3) | Event ID (Win2k8) | 描述 |
|---|---|---|
| 0 | 4720 | 用戶帳戶已建立。 |
| - | 4723 | 嘗試更改帳戶密碼。 |
| 644 | 4740 | 已自動鎖定使用者帳戶。 |
| 4767 | 解除鎖定使用者帳戶。 | |
| 4624 | 登入成功。 | |
| 529 | 4625 | 登入失敗。嘗試以不明的使用者名稱,或已知使用者名稱與錯誤密碼登入。 |
| 675 | 4771 | 預先驗證失敗。此事件是在使用者鍵入不正確的密碼時,於金鑰發佈中心(KDC)上所產生。 |
| 676 | 4772 | 驗證票證要求失敗。在 Windows XP 或 Windows Server 2003 系列中不會產生此事件。 |
| 681 | 4777 | 登入失敗。嘗試網域帳號登入。在 Windows XP 或 Windows Server 2003 系列中不會產生此事件。 |
| - | 5025 | Windows 防火牆服務已停止。 |
例如:
事件 4720 S:已創建用戶帳戶。
事件 4722 S:已啟用用戶帳戶。
事件 4723 S、F:已嘗試更改帳戶密碼。
事件 4724 S、F:已嘗試重置帳戶密碼。
事件 4725 S:已禁用用戶帳戶。
事件 4726 S:已刪除用戶帳戶。
事件 4738 S:已更改用戶帳戶。
事件 4740 S:用戶帳戶被鎖定。
事件 4765 S:SID 歷史記錄已添加到帳戶。
事件 4766 F:嘗試將 SID 歷史添加到帳戶失敗。
事件 4767 S:已解鎖用戶帳戶。
https://www.lepide.com/freetools/account-lockout-examiner.html
https://www.lepide.com/how-to/identify-the-source-of-account-lockouts-in-active-directory.html
https://learn.microsoft.com/zh-tw/windows/security/threat-protection/auditing/security-auditing-overview
沒有留言:
張貼留言