Cómo encontrar el origen de los intentos fallidos de inicio de sesión

A continuación se explica cómo encontrar el origen de los intentos fallidos de inicio de sesión en AD nativo.

• Paso 1: Active la política “Auditar eventos de inicio de sesión”

• Abra el “Administrador del servidor” en su servidor de Windows
• En “Administrar”, seleccione “Administración de directivas de grupo” para ver la “Consola de administración de directivas de grupo”.
• Navegue a Bosque --> Dominio --> Su dominio --> Controladores de dominio.
• Cree un nuevo objeto de directiva de grupo o puede editar una GPO existente.
• En el editor de directivas de grupo, vaya a Configuración del equipo > Configuración de Windows > Configuración de seguridad > Directivas locales > Directiva de auditoría.

• En Directivas de auditoría, seleccione “Auditar eventos de inicio de sesión” y habilítelo para “error”.

  

• Paso 2: Use el Visor de eventos para buscar el origen de los eventos de inicio de sesión fallidos

  El Visor de eventos ahora registrará un evento cada vez que haya un intento fallido de inicio de sesión en el dominio. Busque el ID de evento 4625, que se desencadena cuando se registra un inicio de sesión fallido.

   

  Abra el Visor de eventos en Active Directory y vaya a Registros de Windows> Seguridad. El panel del centro hace una lista de todos los eventos que han sido configurados para la auditoría. Tendrá que revisar los eventos registrados para buscar intentos de inicio de sesión fallidos. Una vez que los encuentre, puede hacer clic con el botón derecho en el evento y seleccionar Propiedades del evento para obtener más detalles. En la ventana que se abre, puede encontrar la dirección IP del dispositivo desde el que se intentó iniciar sesión.