Estou em um ambiente corporativo de médio porte usando o Active Directory para autenticação, etc. Considerando se devemos ativar uma política de bloqueio de conta para tentativas de login com falha, preciso reunir estatísticas sobre o número atual de tais eventos.
Li as Práticas recomendadas de bloqueio de conta do MS , mas ainda assim, Não estou nem perto de entender como fazer isso. O documento se concentra em descobrir as razões para o bloqueio de conta, em vez de obter uma imagem nítida dos logs de eventos.
Então, minha pergunta é: onde devo procurar, o que devo procurar (identificações de eventos específicos, códigos de falha, qualquer outra coisa?) para descobrir número de logins com falha (o usuário tenta repetidamente com a senha errada). Bônus extra se eu puder fazer o script do processo.
Algumas informações adicionais: Os servidores do AD são o Windows 2003 (com um extra executando o Windows 2008)
Por favor, perdoe minha ignorância AD.
Muito obrigado antecipadamente.
Procure (como em, aplique um filtro) no log de eventos de segurança em seus controladores de domínio para EventCode 675, EventType 16. Isso equivale a "Pré-autenticação falhou", que parece ser o precursor do EventCode 644, EventType 8 - "Conta de usuário bloqueada".
Tags login active-directory