问题描述:AD账户频繁被锁定,系统中无法查到相关锁定日志记录

处理过程:通过以下方法,验证是否开启了日志记录:

  1. 在AD服务器上以管理员身份运行cmd,输入命令,netdom query fsmo,查看PDC服务器角色

  2. 登陆到PDC服务器上,以管理员身份运行cmd,输入命令:auditpol/get /category:* 确保审核策略已开启

  3. 如果策略已开启,在系统日志的安全日志 查找事件ID4740

  4. 查看是否能搜索到锁定的事件日志

  5. 如果无事件日志记录,或审核未开启,请在PDC的本地策略开启事件审核,在PDC服务器上打开"本地安全策略"

  6. 确保以下事件审核已开启

  7. 其他相关事件ID说明

    账户解锁,事件ID4767

    用户凭据验证,事件ID4776

    8. 通过以上检查,发现在组策略中设置审核策略后AD服务器通过命令auditpol/get /category:*查看系统审核策略依旧未开启

    9. 通过命令auditpol/get /category:*检查其他服务器发现系统审核策略未开启


解决方法:

============

1. 重建AD域控所应用的审核策略组策略,重建后验证AD审核策略状态,客户端账户登陆锁定,日志记录正常

2. 查看其他windows 服务器上的系统审核策略状态依旧是无审核状态,通过启用组策略中高级审核策略后,通过命令auditpol/get /category:*查看其他服务器系统审核状态正常

3. 关于审核策略及高级审核策略区别在于高级审核策略在数量和类型上选择性更多,配置更加灵活,参考:https://technet.microsoft.com/en-us/library/ff182311(v=ws.10).aspx#BKMK_2

4. 目前同时使用了审核策略和高级审核策略,如果想停止高级审核策略需如下操作:

  • 以下策略设置为禁用,默认没有定义状态时为启用状态


  • 然后使用auditpol /clear清除下现在的审核策略

  • 手动删除audit.csv文件

    路径:

    %systemroot%\system32\grouppolicy\machine\microsoft\windows nt\audit\audit.csv

    %systemroot%\security\audit\audit.csv

  • 禁用高级审核策略设置,禁用后验证审核策略是否有效