PowerShell:“;“访问被拒绝”;不';t显示为“t”;“审计失败”;事件查看器中
从我之前的问题中,我想出了一种登录电脑的方法。 在域中,在另一台计算机上,我远程连接到另一台PC并尝试登录失败 通过这样做,我得到了以下错误[我相信这就是我想要的]: 但是,当我登录到我试图登录失败的PC时,事件查看器日志中没有任何显示我“登录失败”的内容 关于事件查看器日志为什么不读取PowerShell失败的登录,有什么建议吗PowerShell:“;“访问被拒绝”;不';t显示为“t”;“审计失败”;事件查看器中,powershell,login,event-log,Powershell,Login,Event Log,从我之前的问题中,我想出了一种登录电脑的方法。 在域中,在另一台计算机上,我远程连接到另一台PC并尝试登录失败 通过这样做,我得到了以下错误[我相信这就是我想要的]: 但是,当我登录到我试图登录失败的PC时,事件查看器日志中没有任何显示我“登录失败”的内容 关于事件查看器日志为什么不读取PowerShell失败的登录,有什么建议吗 事件查看器显示审核失败的唯一时间是当我实际手动尝试将用户名和密码登录失败到远程登录时。简短回答: 审核失败(EventID 4625)错误记录在域控制器上 长答案:
事件查看器显示审核失败的唯一时间是当我实际手动尝试将用户名和密码登录失败到远程登录时。简短回答: 审核失败(EventID 4625)错误记录在域控制器上 长答案: 如果您尝试使用无意义的用户名(非域用户名)登录,例如,
$username=“DoesNotExist\user”
,则您登录的计算机会将其视为本地用户(即,它与当前计算机的域不匹配,因此不知道如何正确地对其进行身份验证,因此请继续)。当凭据被发送到接收计算机时,它将看到用户名/密码与它知道的任何内容都不匹配,并将失败,并在您尝试连接的计算机上记录审核失败
如果您尝试使用域用户名登录,则您的计算机将了解该域,并尝试根据您的域控制器对用户进行身份验证。如果密码错误,则会失败,域控制器将记录审核失败消息。它记录尝试验证的用户名,以及尝试连接的本地计算机的客户端地址
如果您有多个域控制器,它会稍微复杂一些,因为它将转到您的计算机当前连接的域控制器。要获取信息,请在命令提示符下执行
echo%LOGONSERVER%
。通过测试,我看到程序现在正在连接到更正域并获取我需要的日志ID。echo命令也帮了大忙!
$Username = 'domainname\username'
'correct password
#$Password = get-content "Z:\folder1\passwordhash.txt" | convertto-securestring
'fail login password
$Password = "test"
$pass = ConvertTo-SecureString -AsPlainText $Password -Force
$MySecureCreds = New-Object -TypeName System.Management.Automation.PSCredential -ArgumentList $Username,$pass
gwmi win32_computerSystem –credential $MySecureCreds –computer PC#