المستخدم غير متطابق مع الوعي بالمستخدم المستند إلى WMI

مشكلة

بعد تكوين الوعي بالمستخدم والتأكد من نجاح اختبارات اتصال وحدة التحكم في WMI تحت الوصول > الوعي بالمستخدم، لا يزال بعض المستخدمين غير محددين.

حل

1. تحقق من سياسة التدقيق على وحدات تحكم النطاق

تأكد من أن تدقيق أحداث تسجيل الدخول للحساب وتدقيق أحداث تسجيل الدخول تم تعيينهما إلى نجاح في سياسة الأمان المحلية على كل وحدة تحكم النطاق. 

يمكن العثور على سياسة التدقيق ضمن إعدادات الأمان > السياسات المحلية > سياسة التدقيق في إعدادات سياسة الأمان المحلية.

ملاحظة: يمكن التحكم في سياسة التدقيق بواسطة GPO. إذا كانت "تدقيق أحداث تسجيل الدخول للحساب" معينة إلى "لا يوجد تدقيق" والسياسة يتم التحكم بها بواسطة GPO، فستحتاج إلى تعديل الإعدادات في GPO. لن تتمكن من تغيير الإعداد في سياسة الأمان المحلية.

إذا تم تعيين أحداث تسجيل الدخول إلى النجاح، فستتمكن من رؤية الأحداث في "عارض الأحداث" على وحدة تحكم النطاق. تقرأ Cato معرفات الأحداث التالية لأغراض الوعي بالمستخدم:

• 4624
• 4768
• 4769
• 4770
• 5140
• 5145

2. تأكد من أن جميع وحدات تحكم النطاق قد أضيفت إلى وحدات تحكم WMI لمزامنة الزمن الحقيقي في تطبيق إدارة Cato

لا يتم استنساخ أحداث التدقيق عبر وحدات تحكم النطاق، لذلك من الضروري إضافة جميع وحدات التحكم التي قد يصادق المستخدمون عليها إلى تكوين وحدات التحكم WMI لمزامنة الزمن الحقيقي في تطبيق إدارة Cato. إذا مصدق مستخدم ضد وحدة تحكم غير مضافة إلى التكوين، فلن تتمكن Cato من قراءة حدث تسجيل الدخول لهذا المستخدم، ولن يتم تحديد المستخدم.

بعد إضافة جميع وحدات التحكم إلى تطبيق إدارة Cato، تأكد أيضًا من نجاح اختبار الاتصال لجميعها.

3. تحقق من أن وحدة تحكم النطاق تعمل وأنها ليست مستنفدة

تأكد من عدم حدوث ارتفاعات في CPU أو RAM على وحدة تحكم النطاق التي قد تؤثر على استعلام WMI للوعي بالمستخدم. إذا كانت وحدة تحكم النطاق تظهر استنفاد الموارد، اتبع الخطوات التالية:

• زيادة كمية RAM وCPU على الخادم إن أمكن.
• إذا لم يكن من الممكن إضافة المزيد من الموارد المادية إلى الخادم، فاتبع الخطوات التالية لزيادة ذاكرة خدمة الموفر WMI، والتعامل مع الحصص، وتقليل حجم سجلات الأحداث الأمنية:
  
  • زيادة قيمة الذاكرة لكل مضيف لـ WMI (راجع زيادة خصائص حصة WMI إلى القيم القصوى)
  اتبع الخطوات التالية لتقليل حد حجم سجل الأمان إلى 1MB:
  
  1. افتح عارض الأحداث
  2. انتقل إلى عارض الأحداث > سجلات الويندوز > الأمان
  3. انقر بزر الماوس الأيمن على الأمان وانقر على خصائص
  4. قم بتعيين الحد الأقصى لحجم السجل (KB) إلى 1024
  5. عند الوصول إلى الحد الأقصى لحجم سجل الأحداث اختر استبدال الأحداث حسب الحاجة (الأحداث الأقدم أولاً) أو أرشفة السجل عندما يمتلئ، لا تستبدل الأحداث.
  6. انقر موافق

4. تحقق من أن المستخدم قد أنشأ حدث تسجيل الدخول على وحدة تحكم النطاق.

يمكنك تحديد وحدة تحكم النطاق التي صدّق المستخدم عليها باستخدام أي من الأوامر التالية من موجه الأوامر على كمبيوتر المستخدم:

• ضبط l
• echo %logonserver%
• nltest /dsgetdc:domain.com

بعد تحديد وحدة تحكم النطاق المصادق عليها، افتح عارض الأحداث على تلك الوحدة وانتقل إلى سجلات الويندوز > الأمان. يمكنك إضافة مرشح لمعرفة معرف حدث تسجيل الدخول من القائمة أعلاه، مثل 4624، ثم البحث عن اسم المستخدم. 

إذا وجدت حدث تسجيل دخول ناجح للمستخدم، ومرت تلك الوحدة اختبار اتصال وحدات تحكم WMI لمزامنة الزمن الحقيقي في تطبيق إدارة Cato، يجب أن يكون الوعي بالمستخدم يعمل من أجل ذلك المستخدم. إذا لم يعمل الوعي بالمستخدم بعد، يرجى الاتصال بدعم Cato للحصول على المساعدة.

إذا لم تجد حدث تسجيل دخول ناجح للمستخدم، يمكنك تشغيل استعلام WMI من موجه الأوامر على كمبيوتر متصل بالمجال للتحقق من أن المستخدم مسجل الدخول إلى الكمبيوتر.

استعلام WMI باستخدام عنوان IP:

WMIC /NODE: <عنوان IP> COMPUTERSYSTEM GET USERNAME

مثال:

5. تحقق من أن المستخدم ممكّن في CMA

المستخدمون الذين تم استيرادهم إلى CMA يمكن تعطيلهم إما بإزالتهم من مجموعة المستخدمين على جانب IdP أو عن طريق تعطيلهم يدويًا في CMA. المستخدمون بحالة معطلة لن يتم تعيينهم بواسطة الوعي بالمستخدم.

تأكد من أن المستخدم ممكّن في CMA.