近期客户这边偶尔出现用户计算机中病毒造成大量AD帐户被锁定的情况，并且存在多台这类出问题的计算机，用户的AD帐户经常莫名被锁，影响到客户的满意度。由于环境稍微有些大，有几十台DC服务器，如果通过检查DC安全日志的方式来找出锁定帐户的源头，那是相当的费时和烦躁，需要耗费大量的工作时。

　　庆幸的是客户这边已经部署了SCOM并且部署了ACS角色和报表，在这一场景中，ACS简直就是我们的救星，小弟我经过一段时间的研究、折腾，终于设计了一个关于AD帐户锁定的报表。通过这个报表，现在我们可以很方便地将环境中所有的AD锁定帐户事情以报表的方式呈现出来，相当直观。

　　为了能够体现ITPro无私奉献的精神，将微软技术发扬光大，小弟在得意的同时，当然不会忘记将这个小成果给分享出来，以便广大朋友能够借用本方案在工作环境中处理这种问题。下面来介绍一下实现AD帐户锁定报表的步骤：

　　要想实现通过SCOM ACS实现AD帐户锁定报表功能，我们需要满足下列条件：

　　1. 环境中部署了SCOM 2007 R2，并且部署了ACS角色和ACS报表。

　　2. 在AD组策略中启用了帐户锁定策略。

　　3. 在AD组策略中启用安全审计功能。

　　4. 环境中所有的DC服务器安装了SCOM AGENT，并且启用了ACS转发。

　　在满足上述的前提条件后，我们就可以开始进行报表的设计操作，在SCOM控制台中定位到Reporting，展开Reporting，选择Audit Reports，在右边的Actions窗口中选择Design a new report，如下图所示：(图1)

　　在弹出的警告窗口中单击Run，如下图所示：(图2)

　　在弹出的Mcrosoft Report Builder窗口左上方单击Open按钮，如下图所示：(图3)

　　在Open Report窗口中选择Audit5_Report_Template，然后单击Open按钮，如下图所示：(图4)

　　在设计窗口中为报表指定一个名称，并且在表格中添加如下图的内容列：(图5)

　　在Microsoft Report Builder窗口中单击Filter按钮，在弹出的Filter Data窗口中进行如下图设计，过滤Event ID为644的事件，该事件为锁定帐户事件。(图6)

　　经过前面的一系列操作，AD帐户锁定报表就设计成功，我们将报表另存为一个新报表就可以收工了。

　　报表设计完成之后，我们可以回到SCOM控制台的报表中，双击刚才设计好的报表，验证一下运行结果。(图7)

　　在弹出的报表运行窗口中设定报表的数据时间后单击Run，如下图所示：(图8/9)

　　从前面的截图可以看出，报表能够正常运行，结果比较直观，至此，AD帐户锁定报表的设计工作已经大功告成。

微信公众号

TechTarget

官方微博

TechTarget中国