.png)
最近、私の Active Directory 管理者 3 名が RDP 経由で AD サーバーにログインできなくなりました。
すべてをクロスチェックした後、これら 3 人のユーザーが「Deny RDP access」という 1 つのセキュリティ グループに追加されていることが分かりました。このグループからユーザーを削除した後、ユーザーはログインできるようになりました。
確認したいのですが、この 3 人のユーザーを「RDP アクセスを拒否」グループに追加した人物についての情報を提供できるログはありますか?
このセキュリティ グループ (RDP アクセスの拒否) はデフォルトですか、それとも作成されたものですか?
作成された場合、誰が作成したかを確認するにはどうすればよいでしょうか?
ありがとう、ラム
答え1
これは組み込みグループではないようですので、誰かによって作成され、RDP 経由のユーザー アクセスを拒否するグループ ポリシー設定に関連付けられている可能性があります。
そのグループを作成した人物を確認する唯一の方法は次のとおりです。
- グループの変更を監査する場合
- イベントログにまだイベントが残っていて上書きされていない場合
また、ドメインかローカル グループかについても触れていませんか? ドメイン グループの場合、探しているイベントは次の場所にあります:
https://system32.eventsentry.com/security/event/4727
このページには、そもそもこのイベントを取得するためにどの監査を有効にする必要があるかも表示されます。