豆子最近修改了Sophos的升级账号的密码,结果导致该账户频频被锁。我需要找出究竟是哪些客户端上配置了错误的密码,导致这个问题。方法很简单,也很传统。一句话,找到对应的DC,然后从DC日志上找到对应的登陆用户和计算机。
首先确认组策略里面打开了对应的审计功能。只有enable了Audit Kerberos authentication service, 我们才能查看4771事件。
然后需要下载一个工具,这个工具可以帮助我们定位用户是登陆在哪台域控上
http://www.microsoft.com/en-gb/download/details.aspx?id=15201
输入要查询的用户名
他会列出对应的域控和错误密码的使用时间
登陆对应的域控,查看Security的4771日志即可。
找到对应的时间点,打开
可以看见客户端的IP地址了
然后根据客户端的操作系统,SSH或者RDP连接就行了。
