Menggunakan log peristiwa Windows LAPS
Windows Local Administrator Password Solution (Windows LAPS) memiliki saluran log peristiwa khusus. Semua operasi Windows LAPS dilacak dengan kejadian yang kaya. Pelajari tentang peristiwa utama dan cara melihat log.
Menampilkan log peristiwa
Untuk melihat saluran log peristiwa Windows LAPS, di Windows Server Pemantau Peristiwa, buka Aplikasi dan Layanan>Log>>Microsoft Windows>LAPS>Operational.
Peristiwa utama
Penting untuk mengetahui beberapa peristiwa UTAMA Windows LAPS dan cara melihatnya di log peristiwa:
- Peristiwa awal dan akhir pemrosesan kebijakan
- Detail konfigurasi kebijakan
- Peristiwa konfirmasi pembaruan kata sandi
- Permintaan modifikasi kata sandi eksternal yang diblokir
- Peristiwa terkait pasca-autentikasi-tindakan
Awal dan akhir siklus pemrosesan kebijakan
Ketika Windows LAPS memulai siklus pemrosesan kebijakan latar belakang, kemajuan operasi dilacak di log peristiwa. Mengetahui peristiwa tertentu yang menunjukkan awal dan akhir setiap siklus memudahkan untuk membaca log peristiwa dan memahami peristiwa.
Setiap siklus pemrosesan kebijakan latar belakang dimulai dengan peristiwa 10003:
LAPS policy processing is now starting.
Setiap peristiwa 10003 diikuti oleh beberapa peristiwa lain yang menjelaskan apa yang terjadi. Ketika siklus selesai, peristiwa akhir menandai operasi sebagai berhasil atau gagal.
Siklus yang berhasil dilacak dengan peristiwa 10004. Berikut adalah contoh peristiwa 10004:
LAPS policy processing succeeded.
Siklus yang gagal dilacak dengan peristiwa 10005. Berikut adalah contoh peristiwa 10005:
LAPS policy processing failed with the error code below.
Error code: 80070032
Jika kegagalan terjadi, Anda dapat menggunakan kode kesalahan untuk memecahkan masalah. Anda juga dapat melihat peristiwa intervensi untuk informasi terperinci.
Detail konfigurasi kebijakan
Ketika pencadangan kata sandi diaktifkan, peristiwa konfigurasi kebijakan dipancarkan selama setiap siklus pemrosesan kebijakan latar belakang Windows LAPS. Peristiwa mencatat nilai pengaturan kebijakan tertentu untuk setiap perulangan siklus.
Ketika kebijakan dikonfigurasi untuk mencadangkan kata sandi ke Windows Server Active Directory, peristiwa 10021 dicatat. Berikut adalah contoh peristiwa 10021:
The current LAPS policy is configured as follows:
Policy source: GPO
Backup directory: Active Directory
Local administrator account name:
Password age in days: 30
Password complexity: 4
Password length: 14
Password expiration protection enabled: 1
Password encryption enabled: 1
Password encryption target principal: LapsAdministrators@contoso.com
Password encrypted history size: 12
Backup DSRM password on domain controllers: 0
Post authentication grace period (hours): 8
Post authentication actions: 1
Ketika kebijakan dikonfigurasi untuk mencadangkan kata sandi ke ID Microsoft Entra, peristiwa 10022 dicatat. Berikut adalah contoh peristiwa 10022:
The current LAPS policy is configured as follows:
Policy source: CSP
Backup directory: Azure AD
Local administrator account name: ContosoLocalAdminAccount
Password age in days: 7
Password complexity: 4
Password length: 64
Post authentication grace period (hours): 8
Post authentication actions: 3
Ketika Windows LAPS dikonfigurasi untuk menggunakan kebijakan Microsoft LAPS warisan, peristiwa 10023 dicatat. Berikut adalah contoh peristiwa 10023:
The current LAPS policy is configured as follows:
Policy source: Legacy LAPS
Backup directory: Active Directory
Local administrator account name:
Password age in days: 30
Password complexity: 4
Password length: 8
Password expiration protection enabled: 0
Nilai pengaturan kebijakan khusus ini adalah contoh dan tidak boleh dianggap sebagai rekomendasi.
Peristiwa konfirmasi pembaruan kata sandi
Ketika Windows LAPS berhasil memperbarui direktori yang dikonfigurasi (Windows Server Active Directory atau Microsoft Entra ID) dengan kata sandi baru, peristiwa keberhasilan dicatat: 10018 untuk pembaruan kata sandi di Direktori Aktif Windows Server, dan 10029 untuk pembaruan kata sandi di ID Microsoft Entra.
Berikut adalah contoh peristiwa 10018:
LAPS successfully updated Active Directory with the new password.
Berikut adalah contoh peristiwa 10029:
LAPS successfully updated Azure Active Directory with the new password.
Ketika direktori diperbarui dengan kata sandi baru, Windows LAPS juga memperbarui akun lokal terkelola. Peristiwa 10020 dicatat pada keberhasilan.
Berikut adalah contoh peristiwa 10020:
LAPS successfully updated the local admin account with the new password.
Account name: ContosoLocalAdminAccount
Account RID: 1087
Permintaan modifikasi kata sandi eksternal yang diblokir
Ketika Windows LAPS diaktifkan, ia melindungi kata sandi untuk akun terkelola yang ditentukan dari modifikasi oleh entitas apa pun selain Windows LAPS. Peristiwa 10031 dicatat ketika upaya untuk mengubah kata sandi diblokir.
Berikut adalah contoh peristiwa 10031:
LAPS blocked an external request that tried to modify the password of the current managed account.
Account name: ContosoLocalAdminAccount
Account RID: 1087
Peristiwa tindakan pasca-autentikasi
Ketika tindakan pasca-autentikasi dikonfigurasi, Windows LAPS memantau keberhasilan autentikasi oleh akun terkelola yang ditentukan. Saat autentikasi terdeteksi, peristiwa 10041 dicatat.
Berikut adalah contoh peristiwa 10041:
LAPS detected a successful authentication for the currently managed account. A background task has been scheduled to execute the configured post-authentication actions after the configured grace period has expired.%n
Account name: ContosoLocalAdminAccount
Account RID: 1087
Password reset timer deadline: %3%n
Ketika tenggat waktu yang tercantum dalam peristiwa 10041 tercapai, Windows LAPS mencatat peristiwa 10042:
The post-authentication grace period has expired per policy. The configured post-authentication actions will now be executed.
Account name: ContosoLocalAdminAccount
Account RID: 1087
Windows LAPS kemudian mencoba memutar kata sandi dan menjalankan tindakan pasca-autentikasi yang ditentukan. Peristiwa 10044 dicatat ketika rotasi kata sandi berhasil.
Berikut adalah contoh peristiwa 10044:
LAPS successfully reset the password for the currently managed account and completed all configured post-authentication actions.%n
%n
Account name: ContosoLocalAdminAccount
Account RID: 1087
Jika rotasi kata sandi gagal, peristiwa 10043 dicatat. Berikut adalah contoh peristiwa 10043:
LAPS failed to reset the password for the currently managed account. The password is considered expired due to an authentication event. LAPS will continue retrying the password reset operation until it succeeds.
Account name: ContosoLocalAdminAccount
Account RID: 1087
Password reset retry count: 1
Error code: 80070032
Log peristiwa klien versus log peristiwa pengontrol domain AD
Saluran log peristiwa Windows LAPS berisi peristiwa yang terkait dengan komputer lokal yang bertindak sebagai klien. Saluran log peristiwa Windows LAPS pada pengontrol domain Direktori Aktif hanya berisi peristiwa yang terkait dengan manajemen akun DSRM lokal (jika diaktifkan), dan tidak pernah berisi peristiwa apa pun yang terkait dengan perilaku klien yang bergabung dengan domain.