Получить событие неудачного входа в систему для локальной учетной записи на рядовом сервере в контроллере домена.

Но когда я попадаю на тот же рядовой сервер с локальной учетной записью из другого рядового сервера или DC, события регистрируются в DC. То же самое не происходит, если я бью снаружи - person Srikanth Pandanaboina; 05.11.2019

При тестировании вы указываете имя компьютера с именем пользователя? (например, COMPUTERNAME\username) Если нет, возможно, он пытается пройти аутентификацию в домене, потому что не знает, является ли это учетной записью домена или локальной учетной записью. После неудачной проверки подлинности домена он пытается выполнить локальную проверку подлинности. - person Gabriel Luci; 05.11.2019

Имя пользователя, которое я пытался найти, — TEST ,USR1, и я не упомянул ни одного домена. Событие регистрируется в контроллере домена с сообщением о сбое проверки учетных данных. Но когда я нажимаю не с рядовых серверов, в DC нет журнала (DC отображается только для пользователей, указанных с доменом, например [email protected]) - person Srikanth Pandanaboina; 06.11.2019

Верно. Так как вы не упомянули ни одного домена, он не знает, домен это или локальная учетная запись, поэтому он попробует и то, и другое. Даже если вы дадите ему правильный пароль, я подозреваю, что вы все равно увидите сбой на контроллере домена. Если вы укажете, что это локальная учетная запись (используя COMPUTERNAME\username), вы, вероятно, вообще ничего не увидите на контроллере домена. - person Gabriel Luci; 06.11.2019