AD賬戶頻繁被鎖定-開(kāi)啟日志審核策略

問(wèn)題描述：AD賬戶頻繁被鎖定，系統(tǒng)中無(wú)法查到相關(guān)鎖定日志記錄

處理過(guò)程：通過(guò)以下方法，驗(yàn)證是否開(kāi)啟了日志記錄：

1. 在AD服務(wù)器上以管理員身份運(yùn)行cmd，輸入命令，netdom query fsmo，查看PDC服務(wù)器角色

2. 登陸到PDC服務(wù)器上，以管理員身份運(yùn)行cmd，輸入命令：auditpol/get /category:* 確保審核策略已開(kāi)啟

   

3. 如果策略已開(kāi)啟，在系統(tǒng)日志的安全日志 查找事件ID4740

   

4. 查看是否能搜索到鎖定的事件日志

   

5. 如果無(wú)事件日志記錄，或?qū)徍宋撮_(kāi)啟，請(qǐng)?jiān)?/span>PDC的本地策略開(kāi)啟事件審核，在PDC服務(wù)器上打開(kāi)"本地安全策略"

   

6. 確保以下事件審核已開(kāi)啟

   

7. 其他相關(guān)事件ID說(shuō)明

   賬戶解鎖，事件ID4767，

   用戶憑據(jù)驗(yàn)證，事件ID4776，

   8. 通過(guò)以上檢查，發(fā)現(xiàn)在組策略中設(shè)置審核策略后AD服務(wù)器通過(guò)命令auditpol/get /category:*查看系統(tǒng)審核策略依舊未開(kāi)啟

   9. 通過(guò)命令auditpol/get /category:*檢查其他服務(wù)器發(fā)現(xiàn)系統(tǒng)審核策略未開(kāi)啟

   
   

解決方法：

============

1. 重建AD域控所應(yīng)用的審核策略組策略，重建后驗(yàn)證AD審核策略狀態(tài)，客戶端賬戶登陸鎖定，日志記錄正常

2. 查看其他windows 服務(wù)器上的系統(tǒng)審核策略狀態(tài)依舊是無(wú)審核狀態(tài)，通過(guò)啟用組策略中高級(jí)審核策略后，通過(guò)命令auditpol/get /category:*查看其他服務(wù)器系統(tǒng)審核狀態(tài)正常

3. 關(guān)于審核策略及高級(jí)審核策略區(qū)別在于高級(jí)審核策略在數(shù)量和類型上選擇性更多，配置更加靈活，參考：https://technet.microsoft.com/en-us/library/ff182311(v=ws.10).aspx#BKMK_2

4. 目前同時(shí)使用了審核策略和高級(jí)審核策略，如果想停止高級(jí)審核策略需如下操作：

• 以下策略設(shè)置為禁用，默認(rèn)沒(méi)有定義狀態(tài)時(shí)為啟用狀態(tài)

• 然后使用auditpol /clear清除下現(xiàn)在的審核策略

• 手動(dòng)刪除audit.csv文件

  路徑：

  %systemroot%\system32\grouppolicy\machine\microsoft\windows nt\audit\audit.csv

  %systemroot%\security\audit\audit.csv

• 禁用高級(jí)審核策略設(shè)置，禁用后驗(yàn)證審核策略是否有效