问题
配置用户意识并确保在访问 > 用户意识下的WMI控制器连接测试成功后,仍有用户未被识别。
解决方案
1. 检查域控制器上的审计策略
确保在每个域控制器的本地安全策略中,审计账户登录事件 和 审计登录事件 都设置为 成功。
审计策略可以在本地安全策略设置中的安全性设置 > 本地策略 > 审计策略下找到。
注意:审计策略可以通过GPO控制。 如果“审计账户登录事件”被设置为“无审计”,且该策略由GPO控制,则需要在GPO中编辑这些设置。 无法更改本地安全策略中的设置。
如果登录事件设置为成功,您将在域控制器的事件查看器中看到事件。 Cato读取以下事件ID用于用户意识目的:
- 4624
- 4768
- 4769
- 4770
- 5140
- 5145
2. 确保所有域控制器都已添加到Cato管理应用程序中的WMI控制器进行实时同步。
审计事件不会跨域控制器复制,因此需要将所有用户可能认证的DC添加到Cato管理应用程序中的WMI控制器进行实时同步配置中。 如果用户在未添加到配置中的DC上进行身份验证,Cato将无法读取该用户的登录事件,用户也不会被识别。
在将所有域控制器添加到Cato管理应用程序后,还请确保它们的连接测试成功。
3. 确认域控制器是否上线并且未资源耗尽
确认在域控制器上没有发生中央处理器使用率或内存峰值,它们可能会影响用户意识的WMI查询。 如果域控制器出现资源耗尽,按照下列步骤操作:
- 如果可能的话,增加服务器的中央处理器使用率和内存。
-
如果无法为服务器增加更多物理资源,请按照以下步骤增加WMI提供商服务内存、处理配额,并减少安全事件日志的大小:
- 增加 WMI MemoryPerHost 值 (参见将WMI配额属性增加到最大值)
- 打开 事件查看器
- 导航到 事件查看器 > Windows 日志 > 安全性
- 右键点击 安全性 然后点击 属性
- 设置 最大日志大小 (KB) 为 1024
- 当达到最大事件日志大小时 选择 按照需要覆盖事件(最旧的事件优先) 或 日志满时保存,不覆盖事件。
- 点击确定
4. 检查用户是否在域控制器上生成了登录事件。
您可以通过用户计算机上的命令提示符使用以下任何命令来确定用户认证的域控制器:
- set l
- echo %logonserver%
- nltest /dsgetdc:domain.com
确定认证的域控制器后,打开该域控制器上的事件查看器并转到Windows 日志 > 安全性。 您可以从上述列表中为登录事件ID添加过滤器,例如 4624,然后搜索用户名。
如果您为用户找到成功的登录事件,并且该域控制器通过了Cato管理应用程序中的WMI控制器实时同步连接测试,则用户意识应该对该用户有效。 如果用户意识仍未工作,请联系Cato支持以获取帮助。
如果未找到用户的成功登录事件,可以在与域连接的计算机上通过命令提示符运行WMI查询,以验证用户是否已登录到计算机。
使用IP地址进行WMI查询:
WMIC /NODE: <IP地址> COMPUTERSYSTEM GET USERNAME
示例:
5. 检查用户在CMA中是否已启用
导入到CMA的用户可以通过从IdP上的用户组中删除或在CMA中手动禁用来停用。 具有已禁用状态的用户将不会被用户意识映射。
确保用户在CMA中已启用。
0 条评论
请登录写评论。