AD账号锁定查找锁定来源方法

标签：ad

选择windows的事件查看器---windows日志----安全----筛选当前日志

使用XML过滤语法查询，将默认的select语句替换成如下select语句，

<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">* [EventData[Data[@Name=‘TargetUserName‘]=‘tangjunyi‘]]</Select>
</Query>
</QueryList>

结果：

详细信息：

锁定来源是WIN-I0VBNSILATT，应该是笔记本。

 参考：

https://www.beaming.co.uk/support/it-servers-applications/how-to-search-the-windows-event-log-for-logins-by-username/

https://blogs.technet.microsoft.com/askds/2011/09/26/advanced-xml-filtering-in-the-windows-event-viewer/

AD账号锁定查找锁定来源方法

标签：ad

原文地址：http://tenderrain.blog.51cto.com/9202912/1908875