Necroic Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Коллеги, доброго времени суток! Доменная сеть с большим количеством подсетей. Уровень домена и сами КД на WS 2012R2. Получил событие 4740 на КД, о блокировке УЗ. УЗ - один из админов домена, случай серьёзный. Имя вызывающего компьютера вижу, но мне оно не известно. В сети не найдено, в логах DHCP и DNS не светится. Предшествующих событий 4625 о неудачной попытке входа - нет.   Вопрос, как мне узнать IP или мак компьютера, где был использован неверный пароль для входа? Всего записей: 249 | Зарегистр. 23-01-2008 | Отправлено: 10:04 05-04-2019

ipmanyak Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору 1. nbtstat -a имя_компа буква а  - маленькая, если комп в данный момент включен. Может не проканать, если ответит, то узнаешь MAC, 2. ping -a имя_компа покажет IP , если тачка регилась в DNS и была настроена обратная зона.   3.   systeminfo -s  имя_компа | more в концце увидишь IP, если  тачка  доменная 4.  утилита Русиновича psloggedon.exe -L \\имя_компа   узнаешь кто залогинен на этой машине 5. net use * \\имя_компа\c$     ну про это думаю и сам все знаешь 6. поищи евенты с кодом 4771, возможно были попытки неудачного входа , там будет IP   всё это при условии что машина включена, если не включена и ситуация повторяется, то делать батник с командам по таймауту в 5 минут гонять батник бесконечно и писать лог в файл текстовый. ---------- В сортире лучше быть юзером, чем админом... Всего записей: 11743 | Зарегистр. 10-12-2003 | Отправлено: 11:53 05-04-2019 | Исправлено: ipmanyak, 14:34 05-04-2019

Necroic Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору ipmanyak Спасибо! 1-5 не дают результата, кинулся сразу искать этот комп, но он выключен, видимо 6 - нет, тоже искал ещё утром   Вместо скрипта натравлю на нужные вланы программу Wifi Guard, она будет сканить и искать новые неизвестные устройства, оставлю на пару дней и буду проверять   Добавлено: Попробую ещё ARP Watch использовать никсовый, даже удобнее должен быть.   Добавлено: Кстати, имя вызывающего компьютера, по логам, "Rdesktop".   Никто не сталкивался, есть ли операционка, у которое такое имя зашито по умолчанию? Типа кали, например. Гугл не даёт результат. Всего записей: 249 | Зарегистр. 23-01-2008 | Отправлено: 14:16 05-04-2019

Necroic Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Коллеги, теперь имя компьютера MSTSC. Событий 4771 нет, сканером сети не нашёл такого компьютера в сети. Новых компьютеров в сети не появлялось. RDPGUARD молчит, попыток авторизации на терминальнике не было. Всего записей: 249 | Зарегистр. 23-01-2008 | Отправлено: 12:30 12-04-2019

Paromshick Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору mirovois Что значит "аналогичная"? У топикстартера ситуация вообще не понятная. Где он смотрит, что он видит... Нет неудачных попыток и сразу бан? Пардон, не верю. Методом исключения, понятно, что это не RDP. Но вот оно кому надо проводить расследование методами разными, но того, что здесь написано? А телепаты, случайно, все убыли, разом.   Вы выражайтесь яснее. Что смотрите, где смотрите, что видите. ---------- Скучно Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 16:01 16-11-2019

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Блокировка УЗ, знаю имя компа, не могу найти IP

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование