(注:本文参考以下前辈文章修改而来,源文章连接:)
原脚本只用于收集统计AD,过去一天时内,,EventID为4625帐户登录失败的IP、主机名及登录次数。
EventID对应的内容可参考以下内容:
我现在依需求,修改为需要收集过去一天内,ID为4771:Kerberos预身份验证失败的信息,主要是指AD中认证失败的账号、客户端,并发邮件通知到指邮箱。
1、启用DC的Audit功能
修改GPO,针对DefaultDomainControllerPolicy,启用Auditaccountlogonevents/Auditlogonevents
如果过去一天中,有失败的认证,则能显示具体的IP、账号、失败的次数,管理员刚可依此信息对相应IP地址的电脑、账号进行检查,以排除安全隐患!
本文出自 “大向技术分享” 博客,请务必保留此出处
自己要先看得起自己,别人才会看得起你