科学の箱

科学・IT・登山の話題

ActiveDirectory

Accountがロックされた時のevent viewerの調査方法

投稿日:

認証がされないときはeventviewerを追うが、量が多いのでフィルタリングをかけるのが大変である。また基本のフィルタリングでは、ソースworkstationでの検索をかけることができない。

この検索はcustom viewから検索できる。

まずロックをかけたオリジナルのドメインコントローラにログインする。

Eventviewer -> SecurityからCreate Custom Viewを選択する。

customview_01

Event IDに関しては修正しなくてよい。XMLタブを開き、Edit Query Manuallyをチェックする。Data=を対象のアカウント名とする。

customview_02

<QueryList>
  <Query Id="0" Path="Security">
    <Select Path="Security">
                 *[System[(EventID=4740) or (EventID=4771) or (EventID=4625) or (EventID=4776) or (EventID=4767)]] 
and *[EventData[Data and (Data="User Account")]] </Select>
  </Query>
</QueryList>

Custom Viewを保存すればfilterしたイベントが出力される。

save

メタ情報

inarticle



メタ情報

inarticle



-ActiveDirectory
-

執筆者:

comment

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

関連記事

no image

Active Directoryでアカウントがロックされた時の調査

Active Directoryでアカウントがロックされた場合には、特定のサーバーからパスワード認証が要求されて、間違ったパスワードが送られて来て失敗している可能性がある。 どのサーバーから送られてき …

no image

dfsで名前空間サーバーを見つける方法

DFS空間名がわかっているが、管理しているサーバーがわからない場合。とりあえずどっかのサーバーに入ってdfs managerを立ち上げる。なければそこでは管理していないのでfeatureとしてインスト …

no image

ドメインコントローラでメモリの使用率が高い

ドメインコントローラに4Gbyteのメモリを載せているが、使用率が90%近くになっている。 まずはタスクマネージャでどのタスクで使用率が高いか見てみる。 この結果、以下のプロセスでメモリの使用量が高い …

no image

The email address that is used in your default Microsoft Office Outlook profile differs from the sign-in address that is used in Office Communicator

OutlookのプロファイルとOffice Communicatorのアカウントが異なると出るエラー。 ワークアラウンドは3つある。 Microsoft Online Service Sign In …

no image

ユーザーが所属しているグループの一覧を取得する

下記の netコマンドでも取得できるが出力が切れるので長いグループ名だとわからない。 net user /domain username おすすめはPSを使うこと。ちょっとめんどくさいけどわかりやすい …

PREV
Active Directoryでアカウントがロックされた時の調査
NEXT
redirect virtual disk updates

まとめ

2014年12月
« 11月   1月 »
1234567
891011121314
15161718192021
22232425262728
293031  

side bar top



最近の投稿

最近のコメント

アーカイブ

カテゴリー