近期客户这边偶尔出现用户计算机中病毒造成大量AD帐户被锁定的情况,并且存在多台这类出问题的计算机,用户的AD帐户经常莫名被锁,影响到客户的满意度。由于环境稍微有些大,有几十台DC服务器,如果通过检查DC安全日志的方式来找出锁定帐户的源头,那是相当的费时和烦躁,需要耗费大量的工作时。
庆幸的是客户这边已经部署了SCOM并且部署了ACS角色和报表,在这一场景中,ACS简直就是我们的救星,小弟我经过一段时间的研究、折腾,终于设计了一个关于AD帐户锁定的报表。通过这个报表,现在我们可以很方便地将环境中所有的AD锁定帐户事情以报表的方式呈现出来,相当直观。
为了能够体现ITPro无私奉献的精神,将微软技术发扬光大,小弟在得意的同时,当然不会忘记将这个小成果给分享出来,以便广大朋友能够借用本方案在工作环境中处理这种问题。下面来介绍一下实现AD帐户锁定报表的步骤:
要想实现通过SCOM ACS实现AD帐户锁定报表功能,我们需要满足下列条件:
1. 环境中部署了SCOM 2007 R2,并且部署了ACS角色和ACS报表。
2. 在AD组策略中启用了帐户锁定策略。
3. 在AD组策略中启用安全审计功能。
4. 环境中所有的DC服务器安装了SCOM AGENT,并且启用了ACS转发。
在满足上述的前提条件后,我们就可以开始进行报表的设计操作,在SCOM控制台中定位到Reporting,展开Reporting,选择Audit Reports,在右边的Actions窗口中选择Design a new report,如下图所示:(图1)
在弹出的警告窗口中单击Run,如下图所示:(图2)
在弹出的Mcrosoft Report Builder窗口左上方单击Open按钮,如下图所示:(图3)
在Open Report窗口中选择Audit5_Report_Template,然后单击Open按钮,如下图所示:(图4)
在设计窗口中为报表指定一个名称,并且在表格中添加如下图的内容列:(图5)
在Microsoft Report Builder窗口中单击Filter按钮,在弹出的Filter Data窗口中进行如下图设计,过滤Event ID为644的事件,该事件为锁定帐户事件。(图6)
经过前面的一系列操作,AD帐户锁定报表就设计成功,我们将报表另存为一个新报表就可以收工了。
报表设计完成之后,我们可以回到SCOM控制台的报表中,双击刚才设计好的报表,验证一下运行结果。(图7)
在弹出的报表运行窗口中设定报表的数据时间后单击Run,如下图所示:(图8/9)
从前面的截图可以看出,报表能够正常运行,结果比较直观,至此,AD帐户锁定报表的设计工作已经大功告成。
原文出处:http://virtual.it168.com/a2010/0625/1070/000001070279_all.shtml