Информация о журналах событий (Active Directory)

Информация о журналах событий (Active Directory)

Недавно трое моих администраторов Active Directory не смогли войти на сервер AD через RDP.

После того, как мы все перепроверили, мы обнаружили, что эти 3 пользователя добавлены в одну группу безопасности под названием «Запретить доступ RDP». После того, как я удалил пользователей из этой группы, они теперь могут входить в систему.

  1. Я просто хочу проверить, есть ли какие-либо журналы, которые могут дать мне информацию о том, кто добавил этих 3 пользователей в группу «Запретить доступ RDP»?

  2. Является ли эта группа безопасности (Запретить доступ RDP) группой по умолчанию или она была создана?

  3. Если он создан, как проверить, кто его создал?

Спасибо, Рам.

решение1

Похоже, это не встроенная группа, так что, скорее всего, она была кем-то создана и связана с параметром групповой политики, запрещающим пользователям доступ через RDP.

Единственный способ узнать, кто создал эту группу, это:

  • Если вы проводите аудит групповых изменений
  • Если в журнале событий все еще есть событие и оно не было перезаписано

Вы также не упомянули, домен это или локальная группа? Если это доменная группа, то событие, которое вы ищете, находится здесь:

https://system32.eventsentry.com/security/event/4727

На этой странице также показано, какой аудит необходимо включить, чтобы это событие произошло в первую очередь.

Связанный контент