Puncte:0

Schimbarea parolei unui cont AD - ce servicii se va rupe?

drapel jp

avem o grămadă de conturi AD care sunt folosite în diverse scopuri (permite scanerelor să salveze un fișier într-un folder de rețea sau rulează un serviciu sau o sarcină programată). Există o modalitate rapidă de a vedea unde este utilizat contul (chiar și doar numele de gazdă/adresa IP ar fi util pentru a restrânge mașinile pe care trebuie să ne concentrăm). Doar un „iată de ce computere sau dispozitive a fost accesat acest cont într-o anumită perioadă). Vom reseta parolele pentru multe dintre ele și dorim să știm din timp ce daune va cauza. Mulțumesc, John

dognose avatar
drapel ar
Sidenode: asigurați-vă că dezactivați blocarea contului după X încercări eșuate pentru faza de tranziție. În caz contrar, este posibil să aveți un dispozitiv (pierdut) sau dispozitive offline pentru o lungă perioadă de timp, care vă vor bloca în continuare contul cu o parolă greșită.
drapel jp
Mare punct mulțumesc!
Puncte:0
drapel us

Pentru cazuri ca acesta, nu pot sublinia suficient importanța unei documentații bune. Dar cred că asta nu te va ajuta.

Cu instrumentele MS native, cred că cea mai bună șansă este să filtrați Jurnal de evenimente de securitate pe DC-urile tale pentru ID 4624. În funcție de cât de mare este domeniul tău, vor fi multe și nu mă pot gândi la o modalitate de a filtra după numele de utilizator. Totuși, ceea ce poți face este să folosești Găsiți... introduceți numele de utilizator pe care doriți să îl investigați și apăsați Găsește următorul de fiecare data. Aceasta vă va afișa evenimentele de conectare ale acestui utilizator unul după altul.

PS: repetați pe toate DC-urile pentru rezultate complete.

Și în timp ce sunteți pe el, poate doriți să verificați sarcinile programate, executate de acești utilizatori.

drapel jp
Mulțumesc, voi verifica acel act de identitate foarte apreciat
Puncte:0
drapel mx

În funcție de dimensiunea mediului dvs., este posibil ca sarcina să nu fie realizată manual. Veți avea nevoie de instrumente sau scripturi pentru a trece prin evenimente pe toate DC-urile.

În primul rând, aveți grijă că există o diferență între „evenimente de conectare” și „evenimente de conectare la cont” (MS a luat o formulare foarte proastă în acest sens). Primul este generat pe computerul local unde are loc conectarea, al doilea este generat pe DC-urile unde are loc „autentificarea”.

Deoarece probabil că nu puteți scana toate serverele pentru evenimente locale de conectare, locul mai realist pentru a urmări conectarea la contul de domeniu este pe DC. Pentru asta, vrei să te asiguri că ai cont Auditul de conectare este activat pe DC. Apoi, există mai multe ID-uri de eveniment de căutat.

Puteți găsi mai multe detalii de pe site-ul lui Randy. (și și capitolul 5 pentru a fi complet) https://www.ultimatewindowssecurity.com/securitylog/book/page.aspx?spid=chapter4

drapel jp
Excelent multumesc. Deci, „conectarea contului” ar trebui să înregistreze de fiecare dată când se autentifică ceva de genul unui scanner. Așa sper!

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.