最近,我的 3 個 Active Directory 管理員無法透過 RDP 登入 AD 伺服器。
在我們交叉檢查所有內容後,我們發現這 3 個用戶被添加到一個名為「拒絕 RDP 存取」的安全群組中,在我從該群組中刪除用戶後,他們現在可以登入了。
我只是想檢查是否有任何日誌可以向我提供有關誰將這 3 個用戶添加到此“拒絕 RDP 訪問”組的信息?
此安全群組(拒絕 RDP 存取)是預設的還是已建立的?
如果它創建了,如何檢查誰創建了它?
謝謝,拉姆
答案1
這似乎不是內建群組,因此它可能是由某人創建的,並與拒絕使用者透過 RDP 存取的群組原則設定相關聯。
您可以找出誰創建了該組的唯一方法是:
- 如果您正在審核群組更改
- 如果事件日誌仍然有該事件且未被覆蓋
您也沒有提到它是網域還是本機群組?如果它是網域群組,那麼您要尋找的事件就在這裡:
https://system32.eventsentry.com/security/event/4727
該頁面還向您顯示了需要啟用哪些審核才能首先取得此事件。