問題描述：AD賬戶頻繁被鎖定，系統(tǒng)中無法查到相關(guān)鎖定日志記錄

創(chuàng)新互聯(lián)公司，為您提供網(wǎng)站建設(shè)公司、網(wǎng)站制作、網(wǎng)站營銷推廣、網(wǎng)站開發(fā)設(shè)計(jì)，對服務(wù)成都食品包裝袋等多個(gè)行業(yè)擁有豐富的網(wǎng)站建設(shè)及推廣經(jīng)驗(yàn)。創(chuàng)新互聯(lián)公司網(wǎng)站建設(shè)公司成立于2013年,提供專業(yè)網(wǎng)站制作報(bào)價(jià)服務(wù),我們深知市場的競爭激烈，認(rèn)真對待每位客戶，為客戶提供賞心悅目的作品。 與客戶共同發(fā)展進(jìn)步，是我們永遠(yuǎn)的責(zé)任！

處理過程：通過以下方法，驗(yàn)證是否開啟了日志記錄：

1. 在AD服務(wù)器上以管理員身份運(yùn)行cmd，輸入命令，netdom query fsmo，查看PDC服務(wù)器角色

2. 登陸到PDC服務(wù)器上，以管理員身份運(yùn)行cmd，輸入命令：auditpol/get /category:* 確保審核策略已開啟

   

3. 如果策略已開啟，在系統(tǒng)日志的安全日志 查找事件ID4740

   

4. 查看是否能搜索到鎖定的事件日志

   

5. 如果無事件日志記錄，或?qū)徍宋撮_啟，請?jiān)赑DC的本地策略開啟事件審核，在PDC服務(wù)器上打開"本地安全策略"

   

6. 確保以下事件審核已開啟

   

7. 其他相關(guān)事件ID說明

   賬戶解鎖，事件ID4767，

   用戶憑據(jù)驗(yàn)證，事件ID4776，

   8. 通過以上檢查，發(fā)現(xiàn)在組策略中設(shè)置審核策略后AD服務(wù)器通過命令auditpol/get /category:*查看系統(tǒng)審核策略依舊未開啟

   9. 通過命令auditpol/get /category:*檢查其他服務(wù)器發(fā)現(xiàn)系統(tǒng)審核策略未開啟

解決方法：

============

1. 重建AD域控所應(yīng)用的審核策略組策略，重建后驗(yàn)證AD審核策略狀態(tài)，客戶端賬戶登陸鎖定，日志記錄正常

2. 查看其他windows 服務(wù)器上的系統(tǒng)審核策略狀態(tài)依舊是無審核狀態(tài)，通過啟用組策略中高級審核策略后，通過命令auditpol/get /category:*查看其他服務(wù)器系統(tǒng)審核狀態(tài)正常

3. 關(guān)于審核策略及高級審核策略區(qū)別在于高級審核策略在數(shù)量和類型上選擇性更多，配置更加靈活，參考：https://technet.microsoft.com/en-us/library/ff182311(v=ws.10).aspx#BKMK_2

4. 目前同時(shí)使用了審核策略和高級審核策略，如果想停止高級審核策略需如下操作：

• 以下策略設(shè)置為禁用，默認(rèn)沒有定義狀態(tài)時(shí)為啟用狀態(tài)

• 然后使用auditpol /clear清除下現(xiàn)在的審核策略

• 手動(dòng)刪除audit.csv文件

  路徑：

  %systemroot%\system32\grouppolicy\machine\microsoft\windows nt\audit\audit.csv

  %systemroot%\security\audit\audit.csv

• 禁用高級審核策略設(shè)置，禁用后驗(yàn)證審核策略是否有效