用户-ID代理设置提示

用户-ID代理要求：

• 必须运行属于相关域成员的 Windows Server。 虽然用户-ID Agent可以直接运行在AD服务器，不推荐。
• 该服务必须作为对用户具有本地管理员权限的域帐户运行-ID代理服务器。
• 服务帐户必须有权读取安全日志。 在 Windows 2008 及更高版本的域中，有一个内置组“事件日志读取器”，可为代理提供足够的权限。 在早期版本的 Windows 中，必须通过组为帐户授予“审核和管理安全日志”用户权限policy. 使该帐户成为 Domain Administrators 组的成员可提供所有操作的权限。
• 如果使用WMI探测器，服务帐户必须有权读取客户端工作站上的 CIMV2 命名空间。 用户-ID需要将代理帐户添加到“远程桌面用户”。 域管理员默认有这个。
• 如果只使用一个用户-ID代理，确保它包括发现列表中的所有域控制器。
• 域控制器（DC ) 必须记录“登录成功”信息。

用户-ID代理监视域控制器的以下事件：

• 视窗 2003
  • 672（已授予身份验证票证，发生在登录时刻），
  • 673（已授予服务票证）
  • 674（在登录会话期间可能会多次发生票据授予更新）
• 视窗 2008
  • 4768（已授予身份验证票）
  • 4769（已授予服务票）
  • 4770（已续签的票证）
  • 4624（登录成功）
• 对于帐户登录，DC记录事件ID672 作为身份验证票证请求的首次登录。
• 没有记录相关的帐户注销事件。
• 如果启用了 NetBIOS 探测，则与受监视服务器列表上的文件或打印服务的任何连接也会被代理读取。 这些连接提供更新的用户到IP将信息映射到代理。 在所有情况下，用户映射的新事件都会覆盖旧事件。
• 如果WMI探测已启用，请确保将探测间隔设置为一个合理的值，以适应它可能需要查询的工作站数量。 例如，如果要探测 5,000 台主机，则不要将探测间隔设置为 10 分钟。这两个设置都在用户识别 > 设置 > 客户端探测下 -ID代理人 ：

  

• 在某些情况下WMI探测将失败，因为工作站可能正在运行本地firewall或者它可能不是域的成员。 如果发生这种情况，一旦超过缓存超时，就可以删除映射，即使工作站已启动并正在传输流量。 要进行测试，请从用户运行以下命令-ID代理人。
  • wmic /node:workstationIPaddress computersystem 获取用户名
  • 它应该返回当前登录到该计算机的用户。
  • 如果远程配置 Windows 防火墙，则可以在工作站或服务器上使用这些命令本地设置firewall不可能：
    • 对于 WindowsXP /视窗服务器 2003:
      netshfirewall设置服务 RemoteAdmin 启用
    • 对于 Windows Vista/Windows Server 2008（注意命令行应该在升高的命令提示符）：
      netsh 高级防火墙firewallset rule group="windows management instrumentation (wmi)" new enable=yes
  • 如果您不确定工作站会响应WMI探头，设置用户ID缓存超时设置为更高的值，因为映射将取决于用户登录事件。 在这种情况下，如果在初始登录事件后超过缓存超时，即使用户仍然登录，映射也会被删除。 此设置位于用户标识 > 设置 > 用户缓存下ID代理人：

    

• 确认所有域控制器都在要监视的服务器列表中。如果不是，则并非所有用户对IP可能包含映射，因为任何域控制器都可能对用户进行身份验证。
• 通过从域控制器运行以下命令来确认域控制器列表是准确的：
  • dsquery 服务器 –o rdn（打印您的 DC 列表）。 删除任何不再存在的 DC。
• 确认那个用户ID在流量来源的区域上启用。 此设置位于网络 > 区域下：