.png)
최근 내 Active Directory 관리자 중 3명이 RDP를 통해 AD 서버에 로그인할 수 없습니다.
모든 것을 교차 확인한 후 이 그룹에서 사용자를 제거한 후 이 3명의 사용자가 "RDP 액세스 거부"라는 하나의 보안 그룹에 추가되어 있음을 발견했습니다.
이 3명의 사용자를 이 "RDP 액세스 거부" 그룹에 추가한 사람에 대한 정보를 제공할 수 있는 로그가 있는지 확인하고 싶습니다.
이 보안 그룹(RDP 액세스 거부)이 기본값인가요, 아니면 생성된 것인가요??
생성된 경우 누가 생성했는지 확인하는 방법은 무엇입니까?
고마워요, 램
답변1
이 그룹은 기본 제공 그룹이 아닌 것 같으므로 누군가에 의해 생성되었을 가능성이 높으며 RDP를 통한 사용자 액세스를 거부하는 그룹 정책 설정과 연결되어 있습니다.
해당 그룹을 만든 사람을 확인할 수 있는 유일한 방법은 다음과 같습니다.
- 그룹 변경 사항을 감사하는 경우
- 이벤트 로그에 여전히 이벤트가 있고 덮어쓰이지 않은 경우
도메인인지 로컬 그룹인지도 언급하지 않았나요? 도메인 그룹인 경우 찾고 있는 이벤트는 다음과 같습니다.
https://system32.eventsentry.com/security/event/4727
해당 페이지에는 먼저 이 이벤트를 가져오기 위해 활성화해야 하는 감사도 표시됩니다.