none
多台域控有的域控有登录注销审核日志,有的域控没有,各位大神帮忙 RRS feed

  • 问题

  • 我有多台域控,都是windows 2008 R2 其中有2台老的AD域控,审核日志中有登录注销日志,新安装了2台AD域控审核日志中没有登录注销日志
    2018年8月22日 1:02

答案

全部回复

  • 您好,

    根据我的经验,我建议您首先运行以下命令,以验证当前正在生效的审核策略:

    Auditpol /get /category:”登录/注销

    如果显示并没有审核登录注销事件,我建议您检查一下本地安全策略中的审核设置,并尝试手动启用登录/注销审核策略。

    如果您有任何不清楚的地方,请随时与我们联系。

    Best Regards,

    William


    Please remember to mark the replies as answers if they help and unmark them if they provide no help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2018年8月22日 8:10
    版主
  • 主域控有登录/注销,额外域控不知道为什么没有,不过我在主域控中没看到配置登录/注销策略。

    2018年8月23日 2:38
  • 您好,

    请问你现在是否已成功启动审核策略并且已有审核日志记录?

    Best Regards,

    William


    Please remember to mark the replies as answers if they help and unmark them if they provide no help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2018年8月23日 5:16
    版主
  • 我有多台域控,PDC域控中的登录/注销审核策略和额外域控不通,见下面加粗。

    PDC域控执行auditpol/get /category:"登录/注销"命令显示如下

    C:\Users\zczb_gzh>auditpol/get /category:"登录/注销"
    系统审核策略
    类别/子类别                                    设置
    登录/注销
      登录                                      成功和失败
      注销                                      成功
      帐户锁定                                    成功
      IPsec 主模式                               无审核
      IPsec 快速模式                              无审核
      IPsec 扩展模式                              无审核
      特殊登录                                    成功
      其他登录/注销事件                               无审核
      网络策略服务器                                 成功和失败

    其额外域控执行auditpol/get /category:"登录/注销"命令如下:

    C:\Users\zczb_gzh>Auditpol /get /category:"登录/注销"
    系统审核策略
    类别/子类别                                    设置
    登录/注销
      登录                                      无审核
      注销                                      无审核
      帐户锁定                                    无审核
      IPsec 主模式                               无审核
      IPsec 快速模式                              无审核
      IPsec 扩展模式                              无审核
      特殊登录                                    无审核
      其他登录/注销事件                               无审核
      网络策略服务器                                 无审核

    2018年8月23日 8:10
  • 您好,

    当未配置时,审核登录默认会审核 成功和失败事件,审核注销默认审核成功事件,因此对于PDC上的设置,是正常的。

    而对于您提到的其他DC,可能由于GPO或其他方式修改过审核策略而导致该问题,因此,请您尝试手动启用该审核策略或者使用Auditpol命令行工具将审核策略设置从PDC导入到该台DC

    https://docs.microsoft.com/en-us/windows-server/administration/windows-commands/auditpol

    Best Regards,

    William


    Please remember to mark the replies as answers if they help and unmark them if they provide no help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2018年8月23日 12:41
    版主
  • 按照您的方法解决啦,非常感谢!
    2018年8月29日 1:17
  • 您好,

     

    不用谢,如果方便,我希望您可以将我的回答标记为答复;这会方便其他论坛成员更快地找到他们所需要地信息。

     

    如果有其他可以帮到您的地方,您也可以随时在论坛进行发帖咨询。

     

    Best Regards,

    William


    Please remember to mark the replies as answers if they help and unmark them if they provide no help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2018年8月29日 2:12
    版主