Помилка автентифікації –
4776 (F)
Ідентифікатор події 4624 (переглядається в засобі перегляду подій Windows) документує кожну успішну спробу входу до локального комп’ютера. Ця подія генерується на комп’ютері, до якого було здійснено доступ, іншими словами, на якому було створено сеанс входу. Пов'язана подія, Документи з ідентифікатором події 4625 не вдалося ввійти.
Як ви можете бути збентежені, чим 4624, 4625 відрізняються від 4776, оскільки обидва вони вказують на успішний або невдалий вхід. Насправді EventID 4624, 4625 генеруються, коли облікові дані зберігаються на локальній машині/коли система не може підключитися до контролера домену.
Ідентифікатор події Windows 4771 – Помилка попередньої автентифікації Kerberos | ADAudit Plus. Коли користувач вперше вводить ім’я користувача домену та пароль на своїй робочій станції, робоча станція зв’язується з локальним контролером домену (DC) і запитує квиток для надання квитка (TGT).
Ця подія генерується, коли запит на вхід не вдається. Він генерується на комп'ютері, з якого була зроблена спроба доступу. У полях «Тема» вказано обліковий запис у локальній системі, який запитав вхід. Найчастіше це служба, наприклад служба сервера, або локальний процес, наприклад Winlogon.exe або Services.exe.
Подія 4627 генерується разом із подією 4624 (успішний вхід до облікового запису) і показує повний список груп, до яких належить певний обліковий запис, у який ви ввійшли. Якщо всю інформацію про безпеку неможливо вмістити в одну подію аудиту безпеки, генерується кілька подій.