从上一个问题中,我找到了一种登录PC的方法。
在域中,在另一台计算机上,我远程到另一台PC并尝试失败登录。
通过这样做,我得到以下错误[我相信这是我想要的]:
但是,当我登录到尝试登录失败的PC时,事件查看器日志中没有任何显示“失败登录”的信息。
$Username = 'domainname\username'
'correct password
#$Password = get-content "Z:\folder1\passwordhash.txt" | convertto-securestring
'fail login password
$Password = "test"
$pass = ConvertTo-SecureString -AsPlainText $Password -Force
$MySecureCreds = New-Object -TypeName System.Management.Automation.PSCredential -ArgumentList $Username,$pass
gwmi win32_computerSystem –credential $MySecureCreds –computer PC#
关于为何事件查看器日志无法读取PowerShell的失败登录的任何建议?
仅当事件查看器显示“审核失败”时,才是我实际上手动尝试使用户名和密码的登录失败而导致远程登录失败。
最佳答案
简答:
在域 Controller 上记录了审核失败(EventID 4625)错误。
详细答案:
如果您尝试使用无意义的用户名(非域用户名)登录,例如。 $username = "DoesNotExist\user"然后,您登录的计算机会将其视为本地用户(即,它与当前计算机的域不匹配,因此不知道如何对其进行正确的身份验证,因此将其传递)。将凭据发送到接收计算机后,它将看到用户名/密码与它所知道的任何内容都不匹配,并且将使它失败,并在您尝试连接的计算机上记录“审核失败”。
如果您尝试使用域用户名登录,则您的计算机将了解该域,并尝试根据域 Controller 对用户进行身份验证。如果密码错误,则失败,并且域 Controller 将记录“审核失败”消息。它记录尝试进行身份验证的用户名以及尝试进行连接的本地计算机的客户端地址。
如果您有多个域 Controller ,则要复杂一些,因为它将转到您计算机当前连接的域 Controller 。要获取信息,请在命令提示符下执行echo %LOGONSERVER%。
关于powershell - PowerShell:在事件查看器中, “Access is denied”不显示为 “Audit Failure”,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/34817499/