none
一些AD域的问题 RRS feed

  • 问题

  • 请教几个问题

    1、为什么禁用账号的whenchanged也发生了改变?

    2、是因为我的AD与OA系统有发生过对接吗?

    3、能否详细说明一下让whenchanged发生变化的操作

    4、设置了驱动重定向,但有时登录PC后发现网络位置不显示共享文件夹

    2022年11月25日 0:47

答案

  • 尊敬的客户,您好!

    问题1:哪些ID是可能影响到whenchanged的呢?
    回答1:对于这个问题,没有直接的答案,对于域用户的属性
    whenchanged指的是账号上一次被更改的时间,那么什么操作会更改账号呢,也就是我之前的回复(根据我在测试环境中的测试大概有如下几种操作或者情况会使得whenchanged发生变化)。

    3、能否详细说明一下让whenchanged发生变化的操作
    回答3:我在我的测试环境中测试了一下,以下的一些操作(也可能不仅包括下面的操作,我还没有发现)whenchanged会更改。

    锁定账号
    解锁账号
    禁用账号
    启用账号
    重置账号的密码
    把一个账号在域里移动,例如从一个OU移动到另一个OU。
    更改账号的名字(显示名,姓,名字,全名等,跟名字相关的信息)



    那么您可以根据上面的操作对一个域用户账号设置审核策略(建议您在测试环境中,测试一下),然后看执行这些操作的时候(或者这些操作发生的时候)是否产生了对应的ID,如果产生了对应的ID,那么这个ID就是您要找的ID。

    第一:
    在默认的域控制器策略这个组策略对象上(Default Domain Controller Policy)编辑以下的策略:

    传统审核策略
    Computer Configuration\Windows settings\security settings\local policies\audit policy
    Audit Account Management -》 Success

    或者高级审核策略:
    Computer Configuration\Windows settings\security settings\Advanced Audit Policy Configuration
    Account Management:
    Audit User Account Management –》 Success

    第二:在账号上设置审核权限如下:




    例如:我知道的一个就是用户账号锁了以后,会产生ID 4740.

    问题2:

    1、是开机的时候看不到
    2、过一会也看不到,需要重启才看得到
    3~4、基本是一些公用电脑上出现的概率较多
    5、不同用户可能有不同结果,A登录可能有显示而B登录无显示

    回答2:当下面这些问题发生的时候,用户可以访问共享文件夹吗?不能的话,有什么报错吗?



    此致,
    Daisy Zhou

    如果以上回复对您有所帮助,建议您将其标记为答复。如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnmff@microsoft.com.

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    • 已标记为答案 hins998 2022年12月8日 5:50
    2022年12月1日 9:47
    版主

全部回复

  • 尊敬的客户,您好!

    感谢您在我们的TechNet论坛发帖。

    以下是对您问题的回答,供您参考:

    1、为什么禁用账号的whenchanged也发生了改变?
    回答1:因为whenchanged指的是账号上一次被更改的时间,禁用账号也是对账号的更改。

    2、是因为我的AD与OA系统有发生过对接吗?
    回答2:不是,因为我的测试环境中没有OA系统。见回答1。

    3、能否详细说明一下让whenchanged发生变化的操作
    回答3:我在我的测试环境中测试了一下,以下的一些操作(也可能不仅包括下面的操作,我还没有发现)whenchanged会更改。

    锁定账号
    解锁账号
    禁用账号
    启用账号
    重置账号的密码
    把一个账号在域里移动,例如从一个OU移动到另一个OU。


    4、设置了驱动重定向,但有时登录PC后发现网络位置不显示共享文件夹
    回答4:请问您是怎么重定向驱动?



    希望上述的回复对您有帮助。如有任何问题,欢迎您随时咨询我们。

    此致,
    Daisy Zhou

    如果以上回复对您有所帮助,建议您将其标记为答复。如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnmff@microsoft.com.

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2022年11月28日 3:53
    版主
  • 1~2、因为OA设置了定时同步(主要是人员信息和OU架构等) 就想可能会同步后发生复制然后导致whenchanged时间更新

    因为之前有出现过某月6号的凌晨3点,某些1号已禁用掉的whenchanged发生变化

    4、就是先创建一个共享文件夹,然后再使用组策略的驱动器映射

    新问题:

    5、域用户登录域内PC无论什么情况都不会改变whenchanged的吧?

    • 已编辑 hins998 2022年11月29日 2:11
    2022年11月29日 1:16
  • 尊敬的客户,您好!

    感谢您的回复。

    根据这句话“但有时登录PC后发现网络位置不显示共享文件夹”,这个问题时有时无吗?还是有规律的出现,因为这个是用户策略,例如,只出现在某一个用户?或者只出现在某个时间?

    初步判断,可能是网络问题引起的。

    新问题:

    5、域用户登录域内PC无论什么情况都不会改变whenchanged的吧?

    回答:会的呢,就是账号锁定的话,whenchanged就更改了。当用户在指定的时间内输错了指定次数的密码,那么账号就锁定了,这个whenchanged就变了。

    希望上述的回复对您有帮助。如有任何问题,欢迎您随时咨询我们。

    此致,
    Daisy Zhou

    如果以上回复对您有所帮助,建议您将其标记为答复。如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnmff@microsoft.com.

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2022年11月29日 9:07
    版主
  • 看不见共享文件夹只是时不时出现的问题

    5、我的意思是正常登录的状态下应该是不会影响whenchanged的对吧?还有就是ID为4768,4769,4624,4627,4932,4933这几个事件会影响到whenchanged吗?

    期待您的答复,谢谢。



    • 已编辑 hins998 2022年11月30日 6:20
    2022年11月30日 6:07
  • 尊敬的客户,您好!

    如果用户都是正常成功登录的状态下,whenchanged应该不会变。

    还有就是ID为4768,4769,4624,4627,4932,4933这几个事件会影响到whenchanged吗?
    我认为这些事件ID不会影响whenchanged。

    如需了解更多有关这些ID事件,请参考一下链接。

    4768(S, F): A Kerberos authentication ticket (TGT) was requested.
    4768(S, F) A Kerberos authentication ticket (TGT) was requested. (Windows 10) | Microsoft Learn

    4769(S, F): A Kerberos service ticket was requested.
    4769(S, F) A Kerberos service ticket was requested. (Windows 10) | Microsoft Learn

    4624(S): An account was successfully logged on.
    4624(S) An account was successfully logged on. (Windows 10) | Microsoft Learn

    4627(S): Group membership information.
    4627(S) Group membership information. (Windows 10) | Microsoft Learn

    4932(S): Synchronization of a replica of an Active Directory naming context has begun.
    4932(S) Synchronization of a replica of an Active Directory naming context has begun. (Windows 10) | Microsoft Learn

    4933(S, F): Synchronization of a replica of an Active Directory naming context has ended.
    4933(S, F) Synchronization of a replica of an Active Directory naming context has ended. (Windows 10) | Microsoft Learn

    对于另一个问题“看不见共享文件夹只是时不时出现的问题”?
    1.这个驱动映射是用户策略,
    某一个用户在使用过程中突然看不到映射的盘符了?
    2.还是只在特定的时刻看不到
    映射的盘符(例如刚开机登录账号的时候看不到,但是过一会就看到了)?
    3.请问是某一个用户在他的电脑上会出现这个问题?
    4.还是这个用户在登录这台电脑看不到,换台电脑登录还是会出现这个问题?
    5.还是不同的用户登录同一台电脑出现这个问题(例如,用户A登录PC1看不到,换一个用户B登录PC1还是看不到)?
    6.如果所有用户同时出现这样的问题,也可能文件服务器后台的问题。




    此致,
    Daisy Zhou

    如果以上回复对您有所帮助,建议您将其标记为答复。如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnmff@microsoft.com.

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.



    2022年11月30日 8:32
    版主
  • 那请问 哪些ID是可能影响到whenchanged的呢,因为我搜索whenchanged那个时间点只有上述ID的事件以及一些防火墙出入站的事件

    另一个问题是

    1、是开机的时候看不到

    2、过一会也看不到,需要重启才看得到

    3~4、基本是一些公用电脑上出现的概率较多

    5、不同用户可能有不同结果,A登录可能有显示而B登录无显示

    期待您的回复,谢谢

    2022年12月1日 1:35
  • 尊敬的客户,您好!

    问题1:哪些ID是可能影响到whenchanged的呢?
    回答1:对于这个问题,没有直接的答案,对于域用户的属性
    whenchanged指的是账号上一次被更改的时间,那么什么操作会更改账号呢,也就是我之前的回复(根据我在测试环境中的测试大概有如下几种操作或者情况会使得whenchanged发生变化)。

    3、能否详细说明一下让whenchanged发生变化的操作
    回答3:我在我的测试环境中测试了一下,以下的一些操作(也可能不仅包括下面的操作,我还没有发现)whenchanged会更改。

    锁定账号
    解锁账号
    禁用账号
    启用账号
    重置账号的密码
    把一个账号在域里移动,例如从一个OU移动到另一个OU。
    更改账号的名字(显示名,姓,名字,全名等,跟名字相关的信息)



    那么您可以根据上面的操作对一个域用户账号设置审核策略(建议您在测试环境中,测试一下),然后看执行这些操作的时候(或者这些操作发生的时候)是否产生了对应的ID,如果产生了对应的ID,那么这个ID就是您要找的ID。

    第一:
    在默认的域控制器策略这个组策略对象上(Default Domain Controller Policy)编辑以下的策略:

    传统审核策略
    Computer Configuration\Windows settings\security settings\local policies\audit policy
    Audit Account Management -》 Success

    或者高级审核策略:
    Computer Configuration\Windows settings\security settings\Advanced Audit Policy Configuration
    Account Management:
    Audit User Account Management –》 Success

    第二:在账号上设置审核权限如下:




    例如:我知道的一个就是用户账号锁了以后,会产生ID 4740.

    问题2:

    1、是开机的时候看不到
    2、过一会也看不到,需要重启才看得到
    3~4、基本是一些公用电脑上出现的概率较多
    5、不同用户可能有不同结果,A登录可能有显示而B登录无显示

    回答2:当下面这些问题发生的时候,用户可以访问共享文件夹吗?不能的话,有什么报错吗?



    此致,
    Daisy Zhou

    如果以上回复对您有所帮助,建议您将其标记为答复。如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnmff@microsoft.com.

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    • 已标记为答案 hins998 2022年12月8日 5:50
    2022年12月1日 9:47
    版主
  • 问题1清楚了,另外能帮我找下用户移动OU需要开的组策略以及用户移动OU后会出现的事件ID可以吗?感谢。

    问题2:

    只是此电脑的网络位置不显示而已,不影响使用. 

    \\IP还是可以进到共享文件夹里面的


    • 已编辑 hins998 2022年12月2日 6:05
    2022年12月2日 2:21
  • 尊敬的客户,您好!

    另外能帮我找下用户移动OU需要开的组策略以及用户移动OU后会出现的事件ID可以吗?
    组策略就是上面我提到的哪个,这个我测试了一下,发现不会生成任何事件,但是我把用户从一个OU移动到另一个OU,确实whenchanged变了。


    问题2:只是此电脑的网络位置不显示而已,不影响使用.
    \\IP还是可以进到共享文件夹里面的

    请问那么\\server\sharedfolder这样的方式可以访问吗?

    备注,
    以免混乱,为了更好地,集中地排查或者解决问题,建议您以后一个帖子一个问题,我们集中在一个帖子里关注于一个问题。如果您有多个问题,就发布多个帖子好了,谢谢。

    此致,
    Daisy Zhou

    如果以上回复对您有所帮助,建议您将其标记为答复。如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnmff@microsoft.com.

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.


    2022年12月2日 9:14
    版主
  • 好的好的 之后会另外开帖的

    问题1:

    那如果没事件生成,我们的审计工作就有点难办了。所以您看看有什么方法能查看到移动OU的事件

    问题2:

    可以进去

    2022年12月5日 0:32
  • 尊敬的客户,您好!

    从下面的链接中看,确实这个在域里移动用户账号生成审核事件ID。

    Audit User Account Management (Windows 10) | Microsoft Learn

    并且我在测试环境中测试也没有的。


    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2022年12月5日 7:24
    版主
  • 是的,我在自己的环境上测试也没找到有关移动OU的事件,您看看应该怎么样才能查看到这种事件吧,谢谢
    2022年12月6日 0:52