码迷,mamicode.com
首页 > 其他好文 > 详细

跟踪被锁的AD账号

时间:2015-04-17 10:47:53      阅读:438      评论:0      收藏:0      [点我收藏+]

标签:

豆子最近修改了Sophos的升级账号的密码,结果导致该账户频频被锁。我需要找出究竟是哪些客户端上配置了错误的密码,导致这个问题。方法很简单,也很传统。一句话,找到对应的DC,然后从DC日志上找到对应的登陆用户和计算机。

 

首先确认组策略里面打开了对应的审计功能。只有enable了Audit Kerberos authentication service, 我们才能查看4771事件。

技术分享

 

然后需要下载一个工具,这个工具可以帮助我们定位用户是登陆在哪台域控上

 

http://www.microsoft.com/en-gb/download/details.aspx?id=15201

 

技术分享

输入要查询的用户名

 

技术分享

 

他会列出对应的域控和错误密码的使用时间

技术分享

 

登陆对应的域控,查看Security的4771日志即可。

 

找到对应的时间点,打开

技术分享

 

 

可以看见客户端的IP地址了

技术分享

 

然后根据客户端的操作系统,SSH或者RDP连接就行了。

跟踪被锁的AD账号

标签:

原文地址:http://www.cnblogs.com/xiaomeila/p/4434013.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!