सभी खाता लॉकआउट घटनाओं पर एक रिपोर्ट कैसे प्राप्त करें - कैसे

सभी खाता लॉकआउट घटनाओं पर एक रिपोर्ट कैसे प्राप्त करें

व्यापक रूप से फैली समस्या में से एक आईटी प्रोसिजर AD वातावरण में सामना कर सकता है उपयोगकर्ता खाता तालाबंदी है। ज्यादातर अक्सर यह उपयोगकर्ताओं की गलतियों के कारण होता है, लेकिन कभी-कभी यह संकेत हो सकता है कि कोई व्यक्ति सिस्टम में जाने की कोशिश कर रहा है और सुरक्षा खतरे का संकेत दे सकता है। समय पर ढंग से हमले के प्रयास का पता लगाने और संभावित सुरक्षा उल्लंघन को रोकने के लिए खाता लॉकआउट घटनाओं की निगरानी करना महत्वपूर्ण है।

कुल 4 चरण

चरण 1: एक GPO बनाएँ

Gpedit.msc चलाएं → एक नया GPO बनाएं → इसे संपादित करें: "कंप्यूटर कॉन्फ़िगरेशन" पर जाएं> नीतियां → विंडोज सेटिंग्स → सुरक्षा सेटिंग्स → उन्नत ऑडिट पॉलिसी कॉन्फ़िगरेशन → ऑडिट नीतियां → खाता प्रबंधन:

लेखा परीक्षा उपयोगकर्ता खाता प्रबंधन → परिभाषित → सफलता और विफलता।

इवेंट लॉग → डिफाइन पर जाएं:

अधिकतम सुरक्षा लॉग आकार 4GB;
सुरक्षा लॉग के लिए अवधारण विधि "जरूरत के अनुसार घटनाओं को अधिलेखित करें"।

चरण 2: नए GPO को लिंक करें और इसके अपडेट को बाध्य करें

"समूह नीति प्रबंधन" पर जाएं → किसी डोमेन या OU पर राइट-क्लिक करें → "लिंक ए मौजूदा जीपीओ चुनें" → आपके द्वारा बनाए गए जीपीओ को चुनें।

"ग्रुप पॉलिसी मैनेजमेंट" में परिभाषित ओयू पर राइट-क्लिक करें → "ग्रुप पॉलिसी अपडेट" पर क्लिक करें।

चरण 3: निम्न PowerShell स्क्रिप्ट चलाएँ (फ़ाइलपथ समायोजित करें, AddDays पैरामीटर आवश्यकतानुसार)

आयात-मॉड्यूल ActiveDirectory
$ logName = "सुरक्षा"
$ PCName = Get-ADDomainController -Discover -Service PrimaryDC
$ घटना = "4740"
Get-EventLog -LogName $ logName -ComputerName $ pcName -After (प्राप्त-दिनांक) .AddDays (-30) | जहाँ {$ _। EventID -eq $ eventID} `
| fl -Property timegenerated, प्रतिस्थापन, संदेश | आउट-फाइल -फाइलपैथ c: temp 4740report.txt

चरण 4: रिपोर्ट का उदाहरण