PowerShell: "Отказано в доступе" не отображается как "Ошибка аудита" в средстве просмотра событий

Question

PowerShell: "Отказано в доступе" не отображается как "Ошибка аудита" в средстве просмотра событий

Из моего предыдущего вопроса я выяснил способ входа в ПК. Находясь в домене, на другом компьютере, я удаленно на другой компьютер и пытаюсь не войти в систему.

При этом я получаю следующую ошибку [которая, я считаю, то, что я хочу]:

Тем не менее, когда я вхожу в компьютер, на котором я пытаюсь выполнить неудачный вход в систему, в журнале просмотра событий ничего не отображается с моим "неудачным входом".

$Username = 'domainname\username'
'correct password
#$Password = get-content "Z:\folder1\passwordhash.txt" | convertto-securestring
'fail login password
$Password = "test" 
$pass = ConvertTo-SecureString -AsPlainText $Password -Force

$MySecureCreds = New-Object -TypeName System.Management.Automation.PSCredential -ArgumentList $Username,$pass

gwmi win32_computerSystem –credential $MySecureCreds –computer PC#

Любые предложения о том, почему журнал просмотра событий не читает неудачный вход в PowerShell?

Только время, когда Event Viewer показывает Audit Failure, - это когда я на самом деле вручную пытаюсь сбить регистрацию для имени пользователя и пароля в удаленном входе.

2

powershell login event-log logon-failed

Источник

user4548590 15 янв '16 в 18:30

1 ответ

Решение

Другие вопросы по тегам powershell login event-log logon-failed

user2150063 15 янв '16 в 23:01 2016-01-15 23:01 · Accepted Answer · 2016-01-15 23:01

Короткий ответ:

Ошибка аудита (EventID 4625) регистрируется на контроллере домена.

Длинный ответ:

Если вы попытаетесь войти с бессмысленным именем пользователя (не доменным именем пользователя). Например. $username = "DoesNotExist\user" Тогда компьютер, на котором вы вошли, будет обрабатывать его как локального пользователя (то есть он не соответствует домену текущего компьютера и, следовательно, не знает, как правильно его аутентифицировать, поэтому передавайте его). Когда учетные данные отправляются на принимающий компьютер, он увидит, что имя пользователя и пароль не совпадают с данными, о которых он знает, и потерпит неудачу, и зарегистрирует ошибку аудита на компьютере, к которому вы пытались подключиться.

Если вы попытаетесь войти в систему с именем пользователя домена, тогда ваш компьютер узнает о домене и попытается аутентифицировать пользователя на контроллере домена. Если пароль неверный, это не удастся, и контроллер домена зарегистрирует сообщение "Ошибка аудита". Он регистрирует имя пользователя, который попытался пройти проверку подлинности, а также адрес клиента вашего локального компьютера, который пытался установить соединение.

Это немного сложнее, если у вас более одного контроллера домена, так как он перейдет к тому, к которому в данный момент подключен ваш компьютер. Чтобы получить информацию, выполните echo %LOGONSERVER% в командной строке.