Здрасьте.
Пытаюсь настроить аудит блокировки учётной записи, но в файлах лога Безопасность не видно событие 4740
В политике "default domain controller policy" включил всё логирование - нифига.
От отчаянья попробовал включить и в локальных политиках на контроллере домена - нифига.
Курил эту статью http://serverfault.com/questions/391734/how-to-enable-audit-failure-logs-in-active-directory и эту https://community.spiceworks.com/topic/289343-event-id-4740-user-account-locked-out и эту https://social.technet.microsoft.com/Forums/windowsserver/en-US/c9871d72-7439-46b5-98e6-a7fadfa6ff28/missing-4740-eventids?forum=winserversecurity и эту https://habrahabr.ru/post/171701/

Есть события 4776, 4771, а вот 4740 нет.

Вся эта задумка для того, что у пользователя блокируется учётка, а почему - понять никак не могу.
Подскажите как включить 4740 или как отследить с какого устройства блокируется учётка

Отследить можно при помощи планировщика заданий. Создаем задачу реакции на событие 4740:

start /wait schtasks /Create /S DC1 /TN "Locked Out Account" /RU "NT AUTHORITY\SYSTEM" /SC ONEVENT /TR "'c:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe' -noprofile -file 'C:\Scripts\LockedOutAccount.ps1'" /EC "Security" /MO *[System[EventID=4740]] /RL HIGHEST
где DC1 — имя контроллера домена, на котором создается задача для вылавливания нужного события.
C:\Scripts\LockedOutAccount.ps1 — путь к Powershell скрипту.

Сам скрипт:
$Subject = "A user account was locked out"
$Theme = "A user account was locked out:"
$Server = "smtp.office365.com"
$From = "LockedAccount@firma.ru"
$To = "a.ivanov@firma.ru","v.pupkin@firma.ru"
$encoding = [System.Text.Encoding]::UTF8
$secpasswd = ConvertTo-SecureString "hArD_P@ssw0rd" -AsPlainText -Force
$mycreds = New-Object System.Management.Automation.PSCredential ($From, $secpasswd)

$Body = Get-WinEvent -maxevents 1 -FilterHashtable @{LogName = "Security";ID = 4740;StartTime = (Get-Date).AddSeconds(-15)} | Select TimeCreated,`
@{n = "Account";e = {([xml]$_.ToXml()).Event.EventData.Data | ?{$_.Name -eq "TargetUserName"} | %{$_.'#text'}}}, `
@{n="Computer name";e={([xml]$_.ToXml()).Event.EventData.Data | ? {$_.Name -eq "TargetDomainName"}| %{$_.'#text'}}}

$body = $body -replace "@{" -replace "}" -replace "=", ": " -replace ";","`n" -replace "TimeCreated","Time Created" -replace "^","`n"
$BodyM = $Body

Send-MailMessage -From $From -To $To -SmtpServer $server -Body "$Theme `n$BodyM" -Subject $Subject -Encoding $encoding -Port "587" -Credential $mycreds -UseSsl

Разумеется, адрес почтового сервера и имена адресатов укажите свои. Если в домене используется подписывание Powershell скриптов, то не забудьте подписать скрипт.

Я же говорю, что 4740 события нет, от слова совсем :(

нет идей?

Может события 4770 нет потому что не происходит событий, ведущих к появлению такой записи?
Откуда вообще информация что учетная запись блокируется?

в AD смотрю https://yadi.sk/i/U_dcZZuOsBKxK
Чтобы проверить специально на тестовой записи ввожу несколько раз неправильно пароль пока не заблокируется

А учетка точно доменная, не локальная?

1. Вы проверяли на других доменных контролерах наличие этого события? Применение политик проверяли?
2. Начиная с 2008 винды по умолчанию используются не простые политики аудита, а продвинутые, которые находятся здесь: Group Policy Management Editor > Default Domain Policy (Linked) > Computer Configuration > Policies > Windows Settings > Security Settings > Advanced Audit Policy Configuration. Включите там опции Audit User Account Management (вкладка Account Management) и Audit Account Lockout (вкладка Logon/Logoff).

Включите там опции Audit User Account Management (вкладка Account Management) и Audit Account Lockout (вкладка Logon/Logoff). »
После включения проверьте настройки командой

auditpol /get /category:*

Учётка точно доменная) Я ж скрин из АД приложил.
ko4evneg, 1 - на обоих (у нас их 2) ни там, ни там нет 4740 (искал не только фильтром, но и ручками)
2 - включал логирование на политики контроллеров домена (Default Domain Controllers Policy) остальной путь такой же. Вот скрины https://yadi.sk/i/DpDMO0SbsCrMq и https://yadi.sk/i/OS-fFf3SsCrMm

snark, проверил - включены

ребут КД помог =\