Beste Methode Zum Wiederherstellen Der Active Directory-Verbindung Mit Ereignis-ID
September 2, 2021
Dieser Leitfaden soll Ihnen helfen, wenn Sie eine Warnung zu einem Active Directory-Anmeldefehler mit einer Ereignis-ID akzeptieren.
Empfohlen: Fortect
Präsentation
Ereignis-ID 4624 (wird nur in der Windows-Ereignisanzeige angezeigt) protokolliert jeden erfolgreichen Versuch, einen von allen auf dem lokalen Computer zu besuchen. Das Ereignis tritt auf dem Desktop-Rechner auf, auf den zugegriffen wird, also auf dem typischerweise die Anmeldesitzung tatsächlich erstellt wurde. Das zugehörige Ereignis, Ereignis 4625, erfasst mit beforerecords erfolglose Anmeldeversuche.
Ereignis 4624 gilt für die folgenden Betriebslösungen: Windows Server 2008 R2, Windows Server und Windows 7, 2012 R2 zusätzlich, Windows 8.1 und Windows Server 2016 und Windows 10. Entsprechende Ereignisse nur innerhalb von Windows Server 2003 und früher erforderlich 528 und 540 für die erfolgreiche Aufnahme. in das System einloggen.
Ereignis-ID 4624 wird in zukünftigen Versionen von Windows Server 2008 und 2016 leicht abweichen. Die Screenshots in den nächsten Absätzen zeigen die wichtigen Bereiche jeder einzelnen dieser Versionen. Â Â
Beschreibung der Ereignisfelder
- … Verbindungstyp: Dieses Feld gibt den Typ der Arbeitsbeziehung an. Verbal gibt es einige Hinweise darauf, wie der Benutzer eingesaugt hat. Es gibt insgesamt neun Verbindungsmethoden. Die vielen gängigen Login-Typen sind Steam-Surfen im Web-Typ (interaktiv) und Login-Typ oder vielleicht (Netzwerk). Jede andere Art von Etikett als 5 (die den Ursprung anzeigt, z.B. Mitte) ist eine rote Flagge.
- • Neue Übertragung: Dieser Abschnitt zeigt die Konto-URL des Teilnehmers, der zweifelsfrei für die neue Verbindung erstellt wurde, zusammen mit der Verbindungs-ID, Ihre eigene Dies ist wirklich ein hexadezimaler Wert, um diese Konferenz mit anderen Ereignissen zu bekämpfen.
– Interaktives Login
Bemerkenswert, wenn sich ein Käufer mit einer persönlichen Heimatstadt-Tastatur und einem persönlichen Bildschirm anmeldet.
+ Netzwerkverbindung
Großartig, wenn der ideale Benutzer Remote-Dateifreigaben oder manchmal Tintenstrahldrucker verwendet. Darüber hinaus werden die meisten Internetinformationsdienste (IIS)-Verbindungen im Allgemeinen als Netzwerkverbindungen klassifiziert (mit Ausnahme von IIS für Verbindungen, die als Rapporttyp 8 registriert sind).
+ Batch-Verbindung
Tritt während arrangierter Aufgaben auf, z.B. wenn ein Windows Master Scheduler-Dienst eine bewährte Aufgabe startet.
+ Dienstverbindung
Tritt auf, wenn Dienste und Dienstseiten eine Verbindung herstellen, um den neuesten Dienst zu starten.
+ Verbindung entsperren
Tritt auf, wenn ein Benutzer seinen Windows-Computer entsperrt.
+ NetworkClearText bei der Anmeldung
Wenn sich ein Benutzer wegen eines Meetings anmeldet und das Passwort normalerweise im Klartext gesendet wird. Gehen Sie in erster Linie so vor, dass Sie sich mit der Standardauthentifizierung bei IIS anmelden.
+ NewCredentials-Verbindung
Es ist wirklich bemerkenswert, wenn der Hauptbenutzer die Anwendung mit jedem RunAs-Empfang beginnt und oft den und netonly-Schalter verwendet.
Empfohlen: Fortect
Sind Sie es leid, dass Ihr Computer langsam läuft? Ist es voller Viren und Malware? Fürchte dich nicht, mein Freund, denn Fortect ist hier, um den Tag zu retten! Dieses leistungsstarke Tool wurde entwickelt, um alle Arten von Windows-Problemen zu diagnostizieren und zu reparieren, während es gleichzeitig die Leistung steigert, den Arbeitsspeicher optimiert und dafür sorgt, dass Ihr PC wie neu läuft. Warten Sie also nicht länger - laden Sie Fortect noch heute herunter!
+ RemoteInteractive Connection
Bemerkenswert, wenn der tatsächliche Benutzer über RDP-basierte Anwendungen wie Terminaldienste, Remotedesktop oder Remoteunterstützung eine Verbindung zu seinem Computer herstellt.
+ CachedInteractive Logon
Bemerkenswert, wenn sich ein Benutzer Wood mit seinen persönlichen, lokal verwalteten Netzwerkanmeldeinformationen (d Domänencontroller n ‘wurde zweifellos kontaktiert, um die Anmeldeinformationen zu überprüfen) … …
- … Der Betreffbereich zeigt das Kennwort in der Systemstadt (nicht alle Benutzer) an, die für die Anmeldung erforderlich sind, um Ihnen beim System zu helfen.
- … Die Internet-Sites “Impersonation Level” zeigen den Umfang der Routine in dieser Anmeldesitzung, die auch einen Client imitieren kann. Identitätswechselebenen unterscheiden zwischen den Vorgängen, die das Web im Kontext zwischen den Clients ausführen kann.
- … Der schriftliche Inhalt der Prozessinformationen enthält detaillierte Informationen über den Kurs, der Ihnen angezeigt wurde, als Sie sich eingeloggt haben.
- … Auf der Seite Netzwerkinformationen wird angezeigt, wo sich der Benutzer befand, wenn er sich angemeldet hat. Wenn die Verbindung von derselben PC-Workstation aus initiiert wurde, werden diese Informationen entweder aktualisiert oder spiegeln das Workstation-Etikett zusammen mit der ursprünglichen Netzwerkadresse des jeweiligen Benutzers wider local Mein Computer.
- … Authentifizierungsinformationen bestätigen das für die Verbindung verfügbare Know-how der Authentifizierungsüberraschung. Wann
wird ausgelöst, wenn der Benutzer den lokalen Tastaturfilter des Computers verwendet.
Tritt auf die Minute auf, wodurch der Benutzer wiederum auf freigegebene Einträge oder sogar Remote-Drucker zugreift. Darüber hinaus werden die meisten Internetinformationsdienste (IIS)-Verbindungen immer als Netzwerkverbindungen klassifiziert (mit einer Ausnahme von IIS für Verbindungen, die als typwichtige Verbindung registriert sind).
Tritt während geplanter Aufgaben auf, d. h. wenn der aktive Dienst von Windows Scheduler mit einem geplanten großen Vorhaben gestartet wird.
Tritt auf, wenn Dienste und Dienstanbieter eine Verbindung herstellen, um diesen Dienst zu starten.
Tritt auf, wenn sich ein Benutzer von außerhalb des Netzwerks anmeldet und ein Kennwort im Bereinigungstext gesendet werden muss. Der gebräuchlichste IIS kommt als Basic Authentication auf den Markt.
Tritt auf, wenn der Benutzer das Gerät mit dem Befehl RunAs gestartet und switch/netonly eingerichtet hat.
Wenn aktiviert, stellt ein Angreifer eine Verbindung zu seinem Computer her, indem er RDP-basierte Anwendungsformulare als Terminaldienste, Remotedesktop, wahrscheinlich Remoteunterstützung verwendet.
Tritt jedes Mal auf, wenn ein guter, starker Benutzer an seinen Computer angehängt ist und die Netzwerkbegegnung lokal auf Seite C gespeichert ist (dh kein Domänencontroller hat nur wurde kürzlich kontaktiert, um die Anmeldeinformationen zu überprüfen).
Gründe für die Verfolgung erfolgreicher Verbindungen
Um den Missbrauch von Berechtigungen zu verhindern, müssen Organisationen genau überwachen, was privilegierte Benutzer tun würden, beginnend mit der Anmeldung.
Um inkonsistente und potenziell schädliche Aktivitäten zu verstehen, viele davon wie: B. Einloggen, für eine bestimmte Situation, untätig oder eingeschränkt, Einloggen in die normalen Geschäftszeiten des Gartens, Einloggen, das viele Ressourcen bedeuten würde usw.
Für Details zu Benutzeraktivitäten wie Tippbenutzerpräsenz, Spitzenzeiten, Anmeldungen und mehr.
Genauer Standard Eine klare Kommunikation über positive Registrierungen ist erforderlich, um die behördlichen Anforderungen zu erfüllen.
Sie brauchen drei
Laden Sie diese Software herunter und reparieren Sie Ihren PC in wenigen Minuten.
Gehen Sie mit der rechten Maustaste zu Start → Ereignisanzeige auswählen. Klicken Sie auf Windows-Protokolle → Sicherheitsalarm auswählen. Klicken Sie auf Aktuelles Protokoll filtern. Geben Sie die Reise-ID “4722” ein und klicken Sie dann auf OK.
Event 4738 generiert wahrscheinlich jede Umdrehung eines benutzerdefinierten Betreffs. Manchmal zeigt dieses Ereignis definitiv keine Änderung an, d. h. was sich geändert hatAlle Attribute werden als „-“ angezeigt. „Dies passiert manchmal, wenn Sie planen, Ihnen beim Ändern eines Attributs zu helfen, das regelmäßig nicht in einem Ereignis aufgeführt ist. In diesem Fall ist es unmöglich zu bestimmen, welches Attribut grundsätzlich geändert wurde.
Event Id Active Directory Logon
Id Evento Accesso Alla Directory Attiva
Gebeurtenis Id Active Directory Aanmelding
Identifiant D Evenement Connexion Active A L Annuaire
Id Do Evento Logon No Diretorio Ativo
이벤트 Id 활성 디렉터리 로그온
Handelse Id Aktiv Kataloginloggning
Identyfikator Zdarzenia Logowanie Do Aktywnego Katalogu
Id De Evento Inicio De Sesion En El Directorio Activo
Identifikator Sobytiya Vhod V Aktivnyj Katalog