Comment activer la journalisation des échecs d’audit dans Active Directory pour détecter les tentatives de connexion échouées ?
Via GPO :
- Éditez la Default Domain Controllers Policy
- Naviguez vers Computer Configuration > Policies > Windows Settings > Security Settings > Advanced Audit Policy Configuration
- Activez les catégories souhaitées :
- Account Logon > Audit Kerberos Authentication Service
- Account Logon > Audit Credential Validation
- Logon/Logoff > Audit Logon
Ou avec l’ancienne méthode :
Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies > Audit Policy
- Audit account logon events : Success, Failure
- Audit logon events : Success, Failure