Buonasera a tutti,
nella mia rete ho 2 Windows Active Directory (Windows Server 2012 R2) che chiamerò con il nome di "DC1" e "DC2" e svolgono anche il ruolo di server DNS piimario e secondario.
In DC1, nella Default Domain Policy è stato definito il criterio riguardante la complessità delle password e di lock degli account (dopo "n" tentativi falliti l'account di riferimento si blocca").
Supponendo che ci sia una macchina "server" che chiamerò "A" alla quale un collega tenta di accedere, via RDP o condivisione SMB, utilizzando un account di domino, identificato con "x", dopo "n" tentativi errati l'account "x" entra in lock.
Per quale motivo l'evento di lock è visibile solamente dall'event viewer della macchina "A" e non da quello del "DC1" o del "DC2" ?
Essendo DC1 e DC2 i server di gestione degli utenti e delle risorse pensavo che dal tab "Security" dell'event viewer trovassi traccia di questo "lock"....
Altrimenti, per ogni lock per comprenderne la causa dovrei vedere l'event viewer di ogni singola macchina del dominio.
Forse mi sfugge qualcosa o molto probabilmente ho impostato male la policy di audit ???
Grazie per l'attenzione.
Buona serata.
nella mia rete ho 2 Windows Active Directory (Windows Server 2012 R2) che chiamerò con il nome di "DC1" e "DC2" e svolgono anche il ruolo di server DNS piimario e secondario.
In DC1, nella Default Domain Policy è stato definito il criterio riguardante la complessità delle password e di lock degli account (dopo "n" tentativi falliti l'account di riferimento si blocca").
Supponendo che ci sia una macchina "server" che chiamerò "A" alla quale un collega tenta di accedere, via RDP o condivisione SMB, utilizzando un account di domino, identificato con "x", dopo "n" tentativi errati l'account "x" entra in lock.
Per quale motivo l'evento di lock è visibile solamente dall'event viewer della macchina "A" e non da quello del "DC1" o del "DC2" ?
Essendo DC1 e DC2 i server di gestione degli utenti e delle risorse pensavo che dal tab "Security" dell'event viewer trovassi traccia di questo "lock"....
Altrimenti, per ogni lock per comprenderne la causa dovrei vedere l'event viewer di ogni singola macchina del dominio.
Forse mi sfugge qualcosa o molto probabilmente ho impostato male la policy di audit ???
Grazie per l'attenzione.
Buona serata.
