Использование журналов событий Windows LAPS
Решение для паролей локального Администратор istrator (Windows LAPS) имеет выделенный канал журнала событий. Все операции WINDOWS LAPS отслеживаются с помощью полнофункциональные события. Узнайте о ключевых событиях и способах просмотра журнала.
Просмотр журнала событий
Чтобы просмотреть канал журнала событий Windows LAPS, в Windows Server Просмотр событий перейдите в журналы>приложений и служб>Microsoft>Windows>LAPS>Operations.
Ключевые события
Важно учитывать некоторые ключевые события Windows LAPS и их просмотр в журналах событий:
- События начала и окончания обработки политик
- Сведения о конфигурации политики
- События подтверждения обновления пароля
- Заблокирован запрос на изменение внешнего пароля
- События, связанные с действием после проверки подлинности
Запуск и завершение цикла обработки политики
Когда Windows LAPS начинает цикл обработки фоновой политики, ход выполнения операции отслеживается в журнале событий. Знание конкретных событий, указывающих на начало и конец каждого цикла, упрощает чтение журнала событий и понимание событий.
Каждый цикл обработки фоновой политики начинается с события 10003:
LAPS policy processing is now starting.
За каждым событием 10003 следует несколько других событий, описывающих происходящее. После завершения цикла окончательное событие помечает операцию успешной или неудачной.
Успешный цикл отслеживается с событием 10004. Ниже приведен пример события 10004:
LAPS policy processing succeeded.
Сбой цикла отслеживается с событием 10005. Ниже приведен пример события 10005:
LAPS policy processing failed with the error code below.
Error code: 80070032
При возникновении сбоя можно использовать код ошибки для устранения неполадок. Вы также можете просмотреть промежуточные события для получения подробных сведений.
Сведения о конфигурации политики
При включении резервного копирования паролей событие конфигурации политики создается во время каждого цикла обработки фоновой политики Windows LAPS. Событие регистрирует определенное значение параметра политики для каждой итерации цикла.
Когда политика настроена для резервного копирования пароля в Windows Server Active Directory, регистрируется событие 10021. Ниже приведен пример события 10021:
The current LAPS policy is configured as follows:
Policy source: GPO
Backup directory: Active Directory
Local administrator account name:
Password age in days: 30
Password complexity: 4
Password length: 14
Password expiration protection enabled: 1
Password encryption enabled: 1
Password encryption target principal: [email protected]
Password encrypted history size: 12
Backup DSRM password on domain controllers: 0
Post authentication grace period (hours): 8
Post authentication actions: 1
Когда политика настроена для резервного копирования пароля в идентификатор Microsoft Entra, регистрируется событие 10022. Ниже приведен пример события 10022:
The current LAPS policy is configured as follows:
Policy source: CSP
Backup directory: Azure AD
Local administrator account name: ContosoLocalAdminAccount
Password age in days: 7
Password complexity: 4
Password length: 64
Post authentication grace period (hours): 8
Post authentication actions: 3
При настройке Windows LAPS для использования устаревшей политики Microsoft LAPS регистрируется событие 10023. Ниже приведен пример события 10023:
The current LAPS policy is configured as follows:
Policy source: Legacy LAPS
Backup directory: Active Directory
Local administrator account name:
Password age in days: 30
Password complexity: 4
Password length: 8
Password expiration protection enabled: 0
Эти конкретные значения параметров политики являются примерами и не должны считаться рекомендациями.
События подтверждения обновления пароля
Когда Windows LAPS успешно обновляет настроенный каталог (Идентификатор Windows Server Active Directory или Microsoft Entra) с новым паролем, событие успешного выполнения регистрируется: 10018 для обновлений паролей в Windows Server Active Directory и 10029 для обновлений паролей в идентификаторе Microsoft Entra ID.
Ниже приведен пример события 10018:
LAPS successfully updated Active Directory with the new password.
Ниже приведен пример события 10029:
LAPS successfully updated Azure Active Directory with the new password.
При обновлении каталога с новым паролем Windows LAPS также обновляет управляемую локальную учетную запись. Событие 10020 регистрируется успешно.
Ниже приведен пример события 10020:
LAPS successfully updated the local admin account with the new password.
Account name: ContosoLocalAdminAccount
Account RID: 1087
Заблокирован запрос на изменение внешнего пароля
Если windows LAPS включен, он защищает пароль для указанной управляемой учетной записи от изменения любой сущности, отличной от Windows LAPS. Событие 10031 регистрируется при попытке изменить пароль.
Ниже приведен пример события 10031:
LAPS blocked an external request that tried to modify the password of the current managed account.
Account name: ContosoLocalAdminAccount
Account RID: 1087
События действий после проверки подлинности
При настройке действий после проверки подлинности windows LAPS отслеживает успешные проверки подлинности с помощью указанной управляемой учетной записи. При обнаружении проверки подлинности регистрируется событие 10041.
Ниже приведен пример события 10041:
LAPS detected a successful authentication for the currently managed account. A background task has been scheduled to execute the configured post-authentication actions after the configured grace period has expired.%n
Account name: ContosoLocalAdminAccount
Account RID: 1087
Password reset timer deadline: %3%n
По достижении крайнего срока, указанного в событии 10041, Windows LAPS регистрирует событие 10042:
The post-authentication grace period has expired per policy. The configured post-authentication actions will now be executed.
Account name: ContosoLocalAdminAccount
Account RID: 1087
Затем Windows LAPS пытается повернуть пароль и выполнить все указанные действия после проверки подлинности. Событие 10044 регистрируется при успешном смене пароля.
Ниже приведен пример события 10044:
LAPS successfully reset the password for the currently managed account and completed all configured post-authentication actions.%n
%n
Account name: ContosoLocalAdminAccount
Account RID: 1087
Если смена пароля завершается ошибкой, регистрируется событие 10043. Ниже приведен пример события 10043:
LAPS failed to reset the password for the currently managed account. The password is considered expired due to an authentication event. LAPS will continue retrying the password reset operation until it succeeds.
Account name: ContosoLocalAdminAccount
Account RID: 1087
Password reset retry count: 1
Error code: 80070032
Журнал событий клиента и журнал событий контроллера домена AD
Канал журнала событий Windows LAPS содержит события, связанные с локальным компьютером, выполняющим роль клиента. Канал журнала событий Windows LAPS на контроллере домена Active Directory содержит только события, связанные с управлением локальной учетной записью DSRM (если она включена), и никогда не содержит никаких событий, связанных с поведением клиента, присоединенным к домену.