AD账号锁定查找锁定来源方法

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了AD账号锁定查找锁定来源方法相关的知识,希望对你有一定的参考价值。

选择windows的事件查看器---windows日志----安全----筛选当前日志

使用XML过滤语法查询,将默认的select语句替换成如下select语句,

<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">* [EventData[Data[@Name=‘TargetUserName‘]=‘tangjunyi‘]]</Select>
</Query>
</QueryList>

结果:

技术分享

详细信息:

技术分享

锁定来源是WIN-I0VBNSILATT,应该是笔记本。

 参考:

https://www.beaming.co.uk/support/it-servers-applications/how-to-search-the-windows-event-log-for-logins-by-username/

https://blogs.technet.microsoft.com/askds/2011/09/26/advanced-xml-filtering-in-the-windows-event-viewer/



以上是关于AD账号锁定查找锁定来源方法的主要内容,如果未能解决你的问题,请参考以下文章

Powershell批量解锁被锁定的AD账号

如何实时监测域账号锁定及锁定邮件通知和邮件解锁?

windows常用日志分析

AD账户频繁被锁定-开启日志审核策略

账号锁定功能

如何使用PowerShell解锁Azure AD用户帐户?