PowerShell："Access is denied" 在事件查看器中未显示为 "Audit Failure"

Question

根据我之前的问题，我找到了一种登录 PC 的方法。 在域中，在另一台计算机上，我远程连接到另一台 PC 并尝试登录失败。

通过这样做我得到以下错误[我相信这是我想要的]：

但是，当我登录我尝试登录失败的 PC 时，事件查看器日志中没有任何内容显示我的 "failed login"。

$Username = 'domainname\username'
'correct password
#$Password = get-content "Z:\folder1\passwordhash.txt" | convertto-securestring
'fail login password
$Password = "test" 
$pass = ConvertTo-SecureString -AsPlainText $Password -Force

$MySecureCreds = New-Object -TypeName System.Management.Automation.PSCredential -ArgumentList $Username,$pass

gwmi win32_computerSystem –credential $MySecureCreds –computer PC#

关于为什么事件查看器日志不读取 PowerShell 的失败登录有什么建议吗？

事件查看器显示审核失败的唯一时间是我实际手动尝试将用户名和密码登录到远程登录失败。

Answer 1

简答：

域控制器上记录了审核失败（EventID 4625）错误。

长答案：

如果您尝试使用无意义的用户名（非域用户名）登录，例如。 $username = "DoesNotExist\user" 然后您登录的计算机会将其视为本地用户（即它与当前计算机的域不匹配，因此不知道如何正确验证它，因此请继续）。当凭据被发送到接收计算机时，它会发现 username/password 与它所知道的任何内容都不匹配并且会失败，并在您尝试连接的计算机上记录审核失败。

如果您尝试使用域用户名登录，那么您的计算机将了解该域并尝试根据您的域控制器对用户进行身份验证。如果密码错误，则失败，域控制器 将记录审核失败消息。它记录了尝试验证的用户名，以及尝试连接的本地计算机的客户端地址。

如果您有多个域控制器，它会稍微复杂一些，因为它将转到您的计算机当前连接到的那个域控制器。要获取信息，请在命令提示符下执行 echo %LOGONSERVER%。