[snark]

Отследить можно при помощи планировщика заданий. Создаем задачу реакции на событие 4740:

Код:

start /wait schtasks /Create /S DC1 /TN "Locked Out Account" /RU "NT AUTHORITY\SYSTEM" /SC ONEVENT /TR "'c:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe' -noprofile -file 'C:\Scripts\LockedOutAccount.ps1'" /EC "Security" /MO *[System[EventID=4740]] /RL HIGHEST

где DC1 — имя контроллера домена, на котором создается задача для вылавливания нужного события.
C:\Scripts\LockedOutAccount.ps1 — путь к Powershell скрипту.

Сам скрипт:

Код:

$Subject = "A user account was locked out" 
$Theme = "A user account was locked out:"
$Server = "smtp.office365.com" 
$From = "LockedAccount@firma.ru"
$To = "a.ivanov@firma.ru","v.pupkin@firma.ru"
$encoding = [System.Text.Encoding]::UTF8
$secpasswd = ConvertTo-SecureString "hArD_P@ssw0rd" -AsPlainText -Force
$mycreds = New-Object System.Management.Automation.PSCredential ($From, $secpasswd)

$Body = Get-WinEvent -maxevents 1 -FilterHashtable @{LogName = "Security";ID = 4740;StartTime = (Get-Date).AddSeconds(-15)} | Select TimeCreated,`
@{n = "Account";e = {([xml]$_.ToXml()).Event.EventData.Data | ?{$_.Name -eq "TargetUserName"} | %{$_.'#text'}}}, `
@{n="Computer name";e={([xml]$_.ToXml()).Event.EventData.Data | ? {$_.Name -eq "TargetDomainName"}| %{$_.'#text'}}}

$body = $body -replace "@{" -replace "}" -replace "=", ": " -replace ";","`n" -replace "TimeCreated","Time Created" -replace "^","`n" 
$BodyM = $Body

Send-MailMessage -From $From -To $To -SmtpServer $server -Body "$Theme `n$BodyM" -Subject $Subject -Encoding $encoding -Port "587" -Credential $mycreds -UseSsl

Разумеется, адрес почтового сервера и имена адресатов укажите свои. Если в домене используется подписывание Powershell скриптов, то не забудьте подписать скрипт.

[iluffka]

Я же говорю, что 4740 события нет, от слова совсем

[iluffka]

нет идей?

[Charg]

Может события 4770 нет потому что не происходит событий, ведущих к появлению такой записи?
Откуда вообще информация что учетная запись блокируется?

[iluffka]

в AD смотрю https://yadi.sk/i/U_dcZZuOsBKxK
Чтобы проверить специально на тестовой записи ввожу несколько раз неправильно пароль пока не заблокируется

[snark]

А учетка точно доменная, не локальная?

[ko4evneg]

1. Вы проверяли на других доменных контролерах наличие этого события? Применение политик проверяли?
2. Начиная с 2008 винды по умолчанию используются не простые политики аудита, а продвинутые, которые находятся здесь: Group Policy Management Editor > Default Domain Policy (Linked) > Computer Configuration > Policies > Windows Settings > Security Settings > Advanced Audit Policy Configuration. Включите там опции Audit User Account Management (вкладка Account Management) и Audit Account Lockout (вкладка Logon/Logoff).

[snark]

Цитата ko4evneg:

Включите там опции Audit User Account Management (вкладка Account Management) и Audit Account Lockout (вкладка Logon/Logoff). »

После включения проверьте настройки командой

Код:

auditpol /get /category:*

[iluffka]

Учётка точно доменная) Я ж скрин из АД приложил.
ko4evneg, 1 - на обоих (у нас их 2) ни там, ни там нет 4740 (искал не только фильтром, но и ручками)
2 - включал логирование на политики контроллеров домена (Default Domain Controllers Policy) остальной путь такой же. Вот скрины https://yadi.sk/i/DpDMO0SbsCrMq и https://yadi.sk/i/OS-fFf3SsCrMm

snark, проверил - включены