洛洛 - 2007-12-17 12:59:00
1. 建议您在帐号密码被修改之前,在域控制器上开启审核事件,以便找出问题的所在。具体设置如下:
a. 开始->管理工具->域安全策略->安全设置。
b. 本地策略->审核策略。
c. 审核登录事件->选择“成功”选项。
审核帐户管理->选择“成功”选项。
审核帐户登陆事件->选择“成功”选项。
d. 关闭“域安全策略”管理单元,在命令行提示符窗口中,输入“GPUDATE/FORCE” ,然后按 “回车” ,立即刷新策略。
2. 更改安全性日志大小的上限,这可以帮助我们收集更多的安全性日志信息。
a. 开始->运行->输入eventvwr。
b. 右键点击“安全性”->属性->将日志大小上限更改为10,000 KB或者更大,并选择“不覆盖事件”。
3. 在帐号密码被修改之后,您可以在域控制器上看到更多安全性日志信息,以便找出问题的所在。
a. 开始->运行”并输入“EVENTVWR.MSC” ->安全性->察看信息。
yangzhip - 2007-12-17 18:03:00
方法不错,但如果是恶意更改,很可能这些日志会被删除!
出人头地 - 2007-12-17 21:25:00
非常感谢楼主,很实用。
但是我想问题的各位是如何知道或者是了解到这些比较实用的技巧的呢?
odincs - 2008-1-2 15:06:00
这个很实用,收下了,谢谢
chibanglei - 2008-1-3 11:00:00
不错哦 对于鸡肋型有用哦