码迷,mamicode.com
首页 > 其他好文 > 详细

跟踪被锁的AD账号

时间:2015-04-17 11:49:51      阅读:143      评论:0      收藏:0      [点我收藏+]

标签:service   计算机   ip地址   enable   用户名   

豆子最近修改了Sophos的升级账号的密码,结果导致该账户频频被锁。我需要找出究竟是哪些客户端上配置了错误的密码,导致这个问题。方法很简单,也很传统。一句话,找到对应的DC,然后从DC日志上找到对应的登陆用户和计算机。


首先确认组策略里面打开了对应的审计功能。只有enable了Audit Kerberos authentication service, 我们才能查看4771事件。

技术分享


然后需要下载一个工具,这个工具可以帮助我们定位用户是登陆在哪台域控上


http://www.microsoft.com/en-gb/download/details.aspx?id=15201


技术分享

输入要查询的用户名


技术分享


他会列出对应的域控和错误密码的使用时间

技术分享


登陆对应的域控,查看Security的4771日志即可。


找到对应的时间点,打开

技术分享



可以看见客户端的IP地址了

技术分享


然后根据客户端的操作系统,SSH或者RDP连接就行了。


跟踪被锁的AD账号

标签:service   计算机   ip地址   enable   用户名   

原文地址:http://10142693.blog.51cto.com/10132693/1633751

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!