Bästa Sättet Att återupprätta Active Directory -anslutning Med Händelse -ID
September 2, 2021Den här guiden är utformad för att hjälpa dig om du får ett kraftfullt Active Directory -inloggningsfelmeddelande från ett händelse -ID.
Rekommenderas: Fortect
Presentation
Händelse -ID 4624 (visas i Windows Event Viewer) loggar varje givande försök att besöka någon av dina barn på den lokala datorn. Saken inträffar på den åtkomliga datorn, med andra ord, där inloggningssessionen faktiskt skapades. Tillhörande seminarium, händelse 4625, fångster och beforerecords kunde inte logga in.
Händelse 4624 är relevant för följande operativsystem: Windows Server 2008 R2, Windows Server och därför Windows 7, 2012 R2 ännu Windows 8.1 och Windows Server 2016 och därför Windows 10. Motsvarande händelser från Windows Server 2003 och tidigare omfattades på 528 och 540 för framgångsrikt utförande. inloggningsnamn till systemet.
Händelse -ID 4624 kommer att vara något annorlunda inom bara framtida versioner av Windows Server 2007 och 2016. Skärmdumparna nedan belyser de viktiga områdena för varje av dessa versioner. Â Â
Beskrivning av händelsefält
- … Anslutningsnyckel i: Detta fält anger anslutningskategorin. Ordriktigt finns det några idéer om hur användaren drogs in. Det finns totalt nio olika anslutningsmetoder. De mest kända inloggningstyperna är steam -inloggningsvarianter av (interaktiv) och inloggningstyp få (nätverk). Varje typ av etikett annan för dig till 5 (som anger ursprung från mitten) kommer att vara en röd flagga.
- • Ny anslutning: detta tillvägagångssätt visar kontonamnet som är relaterat till deltagaren som redan var förberedd för den nya anslutningen och alla anslutnings -ID, ditt eget Detta är ett lämpligt hexadecimalt värde för att matcha följande konferens med andra händelser.
– Interaktiv inloggning
Anmärkningsvärt när en användare registrerar aktivitet genom att använda en personlig lokal mus och personlig skärm.
+ Nätverksanslutning
Bra när du än är den perfekta användaren för att få tillgång till fjärrdatorer för datorstöd eller ibland skrivare. Dessutom klassificeras de flesta Internet Information Services (IIS) -anslutningar i allmänhet som socialiseringsanslutningar (med undantag för IIS för anslutningar registrerade som anslutningsform 8).
+ Batch -anslutning
Förekommer under schemalagda funktioner, dvs. H. när Windows Master Scheduler -tjänsten startar en legitim affär.
+ Tjänstanslutning
Uppstår när tjänster och webbplatser ansluter för att starta en internettjänst.
+ Avblockera anslutning
Uppstår när en användare öppnar sin Windows -dator.
+ NetworkClearText vid inloggning
När en användare loggar in under det senaste mötet och lösenordet betalas i klartext. Anger främst vilken i sin tur du loggar in på IIS genom att välja Grundläggande autentisering.
+ NewCredentials -anslutning
Det är minnesvärt när huvudanvändaren startar typ av applikation med varje RunAs -kommando som dessutom ofta använder / netonly modify.
Rekommenderas: Fortect
Är du trött på att din dator går långsamt? Är det full av virus och skadlig kod? Var inte rädd, min vän, för Fortect är här för att rädda dagen! Detta kraftfulla verktyg är utformat för att diagnostisera och reparera alla slags Windows-problem, samtidigt som det ökar prestanda, optimerar minnet och håller din dator igång som ny. Så vänta inte längre - ladda ner Fortect idag!
+ RemoteInteractive Connection
Anmärkningsvärt när en missbrukare ansluter till sin dator med RDP-baserade applikationer som Terminal Services, Remote Desktop eller Remote Assistance.
+ CachadInteraktiv inloggning
Anmärkningsvärt när en användare loggar in på sin dator med sina hanterade nätverksuppgifter i din närhet (det vill säga dess domänkontrollant n ‘nåddes inte för att verifiera referenser) … …
- … Ämnesområdet visar kontot med hjälp av systemstaden (inte alla användare) som krävs för att logga in på systemet ofta.
- … Avsnittet “Efterbildningsnivå” visar omfattningen av processen från denna inloggningssession som skulle kunna efterlikna en klient. Personifieringsnivåer skiljer sig åt i de operationer som servern ibland kan utföra i samband med ofta klienten.
- … Processinformationsartikeln innehåller detaljerad information om processen precis som presenterades för dig när en loggade in.
- … Nätverksinformationsavsnittet aktiviteter där användaren var när han loggade in. Om anslutningen slutade initieras från samma PC -arbetsområde ignoreras denna information antingen också arbetsstationens etikett och den ursprungliga nätverksadressen för rikstäckande Min dator.
- … Autentiseringsinformation visar en del av kunskapen för autentiseringspaketet som presenteras för anslutningen. När
kommer att höjas när användaren installerar datorns lokala tangentbordsskärm.
inträffar i samma ögonblick som användaren får åtkomst till delade poster eller virtuella skrivare. Dessutom definieras de flesta Internet Information Services (IIS) -anslutningar fortfarande som nätverksanslutningar (med undantag för denna regel för IIS för anslutningar som kan registreras som typ 8 -anslutning).
Förekommer under schemalagda uppgifter, dvs. H. när Windows Scheduler -tjänsten helt enkelt startas med en schemalagd uppgift.
Uppstår när tjänster och servicekonton kopplar upp sig för att starta denna tjänst.
Uppstår när en användare loggar in utanför nätverket och koden måste skickas med ett tydligt textmeddelande. Det vanligaste IIS verkar vara grundläggande autentisering.
Uppstår när alla användare har startat programmet som gör RunAs -kommandot och specificerat switch / netonly.
Om den är aktiverad ansluter en angripare till den datorn med RDP-baserade applikationer som Terminal Services, Remote Desktop eller Remote Assistance.
Uppstår när en bra, stark användare loggar in vid återkomst till sin dator med nätverksuppgifter placerade lokalt på sidan C. (det anses vara, ingen domänkontrollant har ringde för att verifiera referenser).
Anledningar till att spåra framgångsrika anslutningar
För att få ett slut på missbruk av privilegier måste organisationer noggrant övervaka vad privilegierade användare gör, starta med inloggning.
För att upptäcka oenighet och potentiellt skadliga aktiviteter, med tanke på att: B. inloggning, till exempel uttråkad eller begränsad, inloggning utanför ordinarie öppettider, inloggning på många resurser etc.
För information helt om användaraktivitet som slutoperatörens närvaro, topptider, inloggningar och mycket mer.
Exakt standard Tydlig information om positiva registreringar krävs för att följa myndighetskraven.
De skulle vilja ha tre Ladda ner den här programvaran och fixa din dator på några minuter. Händelse -ID 4624 (visas hela vägen genom Windows Event Viewer) dokumenterar båda de lyckade försöken att ansluta till den här lokala datorn. Denna händelse är skapad på den åtkomliga datorn, det kan vara på vilket anslutningssessionen kommer att ha skapats.
Händelse -ID 4624 (visas hela vägen genom Windows Event Viewer) dokumenterar båda de lyckade försöken att ansluta till den här lokala datorn. Denna händelse är skapad på den åtkomliga datorn, det kan vara på vilket anslutningssessionen kommer att ha skapats.
Rätt besök på Start → Välj Event Viewer. Klicka på Windows -loggar → Välj säkerhetslarm. Klicka på Filtrera aktuell logg. Ange rese -ID “4722” och klicka på OK.
Händelse 4738 genererar nästan varje individuell revolution av ett anpassat objekt. Ibland nämner denna händelse definitivt ingen förändring, dvs alla ändrade Alla symboler visas som “-”. ”Detta sker som huvudregel när du planerar att justera ett attribut som ofta inte nödvändigtvis anges i en händelse. I alla dessa fall är det omöjligt att hitta vilket attribut som ändrades.
Event Id Active Directory Logon
Ereignis Id Active Directory Anmeldung
Id Evento Accesso Alla Directory Attiva
Gebeurtenis Id Active Directory Aanmelding
Identifiant D Evenement Connexion Active A L Annuaire
Id Do Evento Logon No Diretorio Ativo
이벤트 Id 활성 디렉터리 로그온
Identyfikator Zdarzenia Logowanie Do Aktywnego Katalogu
Id De Evento Inicio De Sesion En El Directorio Activo
Identifikator Sobytiya Vhod V Aktivnyj Katalog
