PowerShell:"访问被拒绝"没有显示为"审核失败"在事件查看器中

时间:2016-01-15 18:30:36

标签: powershell login event-log

从我之前的问题中我找到了一种登录PC的方法。 在域中,在另一台计算机上,我远程访问另一台PC并尝试登录失败。

通过这样做我得到以下错误[我相信这就是我想要的]:

enter image description here

但是,当我登录到我尝试登录失败的PC时,事件查看器日志中没有任何内容显示我的"登录失败"。

$Username = 'domainname\username'
'correct password
#$Password = get-content "Z:\folder1\passwordhash.txt" | convertto-securestring
'fail login password
$Password = "test" 
$pass = ConvertTo-SecureString -AsPlainText $Password -Force

$MySecureCreds = New-Object -TypeName System.Management.Automation.PSCredential -ArgumentList $Username,$pass

gwmi win32_computerSystem –credential $MySecureCreds –computer PC#

有关为什么事件查看器日志没有读取PowerShell登录失败的任何建议?

只有时间事件查看器显示审核失败是指我实际上手动尝试将用户名和密码登录失败到远程登录时。

1 个答案:

答案 0 :(得分:1)

简答:

域控制器上记录了审核失败(EventID 4625)错误。

长答案:

如果您尝试使用无意义的用户名(非域用户名)登录,请参阅。 $username = "DoesNotExist\user"然后,您登录的计算机会将其视为本地用户(即它与当前计算机的域名不匹配,因此不知道如何正确验证它,所以传递它)。将凭据发送到接收计算机后,它将看到用户名/密码不匹配它知道的任何内容并将使其失败,并在您尝试连接的计算机上记录审核失败。

如果您尝试使用域用户名登录,则您的计算机将了解域并尝试针对您的域控制器对用户进行身份验证。如果密码错误,则会失败,域控制器将记录“审核失败”消息。它记录尝试进行身份验证的用户名,以及尝试尝试连接的本地计算机的客户端地址。

如果您有多个域控制器,它会更复杂一些,因为它将转到您的机器当前连接的那个。要获取信息,请在命令提示符下执行echo %LOGONSERVER%

相关问题
最新问题