Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Rozwiązanie windows Local Administrator Password Solution (Windows LAPS) ma dedykowany kanał dziennika zdarzeń. Wszystkie operacje systemu Windows LAPS są śledzone za pomocą rozbudowanych zdarzeń. Dowiedz się więcej o kluczowych zdarzeniach i sposobie wyświetlania dziennika.
Wyświetlanie dziennika zdarzeń
Aby wyświetlić kanał dziennika zdarzeń systemu Windows LAPS, w Podglądzie zdarzeń systemu Windows Server przejdź do pozycji Aplikacje i usługi>Dzienniki>Microsoft>Windows>LAPS>Operacyjne.
Kluczowe zdarzenia
Ważne jest, aby pamiętać o niektórych kluczowych zdarzeniach systemu Windows LAPS i sposobie ich wyświetlania w dziennikach zdarzeń:
- Zdarzenia rozpoczęcia i zakończenia przetwarzania polityki
- Szczegóły konfiguracji zasad
- Zdarzenia potwierdzenia aktualizacji hasła
- Zablokowane żądanie modyfikacji hasła zewnętrznego
- Zdarzenia związane z akcjami po uwierzytelnianiu
Początek i koniec cyklu przetwarzania zasad
Gdy system Windows LAPS rozpoczyna cykl przetwarzania zasad w tle, postęp operacji jest śledzony w dzienniku zdarzeń. Znajomość określonych zdarzeń wskazujących początek i koniec każdego cyklu ułatwia odczytywanie dziennika zdarzeń i zrozumienie zdarzeń.
Każdy cykl przetwarzania zasad w tle rozpoczyna się od zdarzenia 10003:
LAPS policy processing is now starting.
Po każdym zdarzeniu 10003 następuje kilka innych zdarzeń, które opisują, co się dzieje. Po zakończeniu cyklu ostateczne zdarzenie oznacza operację jako zakończoną powodzeniem lub niepowodzeniem.
Udany cykl jest śledzony za pomocą zdarzenia 10004. Oto przykład zdarzenia 10004:
LAPS policy processing succeeded.
Nieudany cykl jest śledzony zdarzeniem 10005. Oto przykład zdarzenia 10005:
LAPS policy processing failed with the error code below.
Error code: 80070032
Jeśli wystąpi awaria, możesz użyć kodu błędu, aby rozwiązać problemy. Możesz również zapoznać się z wydarzeniami pośrednimi, aby uzyskać szczegółowe informacje.
Szczegóły konfiguracji zasad
Po włączeniu tworzenia kopii zapasowej haseł emitowane jest zdarzenie konfiguracji zasad podczas każdego cyklu przetwarzania zasad w tle systemu Windows LAPS. Zdarzenie rejestruje wartość określonego ustawienia zasad dla każdej iteracji cyklu.
Gdy zasady są skonfigurowane do tworzenia kopii zapasowej hasła w usłudze Active Directory systemu Windows Server, rejestrowane jest zdarzenie 10021. Oto przykład zdarzenia 10021:
The current LAPS policy is configured as follows:
Policy source: GPO
Backup directory: Active Directory
Local administrator account name:
Password age in days: 30
Password complexity: 4
Password length: 14
Password expiration protection enabled: 1
Password encryption enabled: 1
Password encryption target principal: LapsAdministrators@contoso.com
Password encrypted history size: 12
Backup DSRM password on domain controllers: 0
Post authentication grace period (hours): 8
Post authentication actions: 1
Gdy zasady są skonfigurowane do tworzenia kopii zapasowej hasła do identyfikatora Entra firmy Microsoft, rejestrowane jest zdarzenie 10022. Oto przykład zdarzenia 10022:
The current LAPS policy is configured as follows:
Policy source: CSP
Backup directory: Azure AD
Local administrator account name: ContosoLocalAdminAccount
Password age in days: 7
Password complexity: 4
Password length: 64
Post authentication grace period (hours): 8
Post authentication actions: 3
Gdy system Windows LAPS jest skonfigurowany do używania starszych zasad microsoft LAPS, rejestrowane jest zdarzenie 10023. Oto przykład zdarzenia 10023:
The current LAPS policy is configured as follows:
Policy source: Legacy LAPS
Backup directory: Active Directory
Local administrator account name:
Password age in days: 30
Password complexity: 4
Password length: 8
Password expiration protection enabled: 0
Te konkretne wartości ustawień zasad są przykładami i nie należy ich traktować jako zaleceń.
Zdarzenia potwierdzenia aktualizacji hasła
Gdy system Windows LAPS pomyślnie aktualizuje skonfigurowany katalog (Windows Server Active Directory lub Microsoft Entra ID) przy użyciu nowego hasła, rejestrowane jest zdarzenie powodzenia: 10018 dla aktualizacji haseł w usłudze Active Directory systemu Windows Server i 10029 w przypadku aktualizacji haseł w identyfikatorze Entra firmy Microsoft.
Oto przykład zdarzenia numer 10018:
LAPS successfully updated Active Directory with the new password.
Oto przykład zdarzenia 10029:
LAPS successfully updated Azure Active Directory with the new password.
Po zaktualizowaniu katalogu przy użyciu nowego hasła system Windows LAPS aktualizuje również zarządzane konto lokalne. Zdarzenie 10020 jest rejestrowane po pomyślnym zakończeniu.
Oto przykład zdarzenia 10020:
LAPS successfully updated the local admin account with the new password.
Account name: ContosoLocalAdminAccount
Account RID: 1087
Zablokowane żądanie modyfikacji hasła zewnętrznego
Gdy system Windows LAPS jest włączony, chroni hasło dla określonego konta zarządzanego przed modyfikacją przez dowolną jednostkę inną niż Windows LAPS. Zdarzenie 10031 jest rejestrowane po zablokowaniu próby zmiany hasła.
Oto przykład zdarzenia 10031:
LAPS blocked an external request that tried to modify the password of the current managed account.
Account name: ContosoLocalAdminAccount
Account RID: 1087
Zdarzenia związane z działaniem po uwierzytelnieniu
Po skonfigurowaniu działań po uwierzytelnieniu, Windows LAPS monitoruje pomyślne uwierzytelnienia za pomocą określonego konta zarządzanego. Po wykryciu uwierzytelniania jest rejestrowane zdarzenie 10041.
Oto przykład zdarzenia 10041:
LAPS detected a successful authentication for the currently managed account. A background task has been scheduled to execute the configured post-authentication actions after the configured grace period has expired.%n
Account name: ContosoLocalAdminAccount
Account RID: 1087
Password reset timer deadline: %3%n
Po osiągnięciu terminu ostatecznego zdarzenia 10041 system Windows LAPS rejestruje zdarzenie 10042:
The post-authentication grace period has expired per policy. The configured post-authentication actions will now be executed.
Account name: ContosoLocalAdminAccount
Account RID: 1087
System Windows LAPS próbuje obrócić hasło i wykonać wszystkie określone akcje po uwierzytelnieniu. Zdarzenie 10044 jest rejestrowane, gdy rotacja haseł zakończy się pomyślnie.
Oto przykład zdarzenia 10044:
LAPS successfully reset the password for the currently managed account and completed all configured post-authentication actions.%n
%n
Account name: ContosoLocalAdminAccount
Account RID: 1087
Jeśli rotacja hasła zakończy się niepowodzeniem, zostanie zarejestrowane zdarzenie 10043. Oto przykład zdarzenia 10043:
LAPS failed to reset the password for the currently managed account. The password is considered expired due to an authentication event. LAPS will continue retrying the password reset operation until it succeeds.
Account name: ContosoLocalAdminAccount
Account RID: 1087
Password reset retry count: 1
Error code: 80070032
Dziennik zdarzeń klienta a dziennik zdarzeń kontrolera domeny usługi AD
Kanał dziennika zdarzeń systemu Windows LAPS zawiera zdarzenia związane z maszyną lokalną działającą jako klient. Kanał dziennika zdarzeń systemu Windows LAPS na kontrolerze domeny usługi Active Directory zawiera tylko zdarzenia związane z zarządzaniem lokalnym kontem DSRM (jeśli jest włączone) i nigdy nie zawiera żadnych zdarzeń związanych z zachowaniami klientów przyłączonych do domeny.