Выяснение, почему пользователь заблокирован в Active Directory

38

Учетная запись пользователя продолжает блокироваться в Active Directory. Это, вероятно, вызвано приложением, которое использует проверку подлинности Windows для подключения к SQL Server.

Есть ли способ узнать, какое приложение вызывает его и почему оно может вызывать неудачные попытки входа в систему?

Tony_Henrich
источник
Может помочь вам, процесс расследования блокировки учетной записи AD http://www.compuday.co.za/2012/11/13/active-directory-account-lockouts-investigated/

Ответы:

58

Взгляните на средства блокировки учетной записи и инструменты управления, доступные в Центре загрузки Microsoft. В частности, LockoutStatus.exe и EventCombMT.exe. Возможно, вы не сможете точно определить, откуда исходит блокировка, но вы должны быть в состоянии сузить его, чтобы было легче видеть.

Вот еще пара статей Technet, которые могут помочь:
Обслуживание и мониторинг блокировки
учетной записи Инструменты блокировки учетной записи (описание инструментов в загрузке, ссылка на которую приведена выше)
Использование проверенного Netlogon.dll для отслеживания блокировки учетной записи
Включение ведения журнала отладки для службы сетевого входа в систему

squillman
источник
Это отличный пост и информация о ресурсах. Хотелось бы, чтобы я вас больше
голосовал
Ура, рад, что это помогает :)
squillman
Стоит отметить, что эти ссылки работают только для серверов 2k3.
BetaRide
3
Существуют ли аналогичные инструменты для Server 2012 R2?
Крис Пауэлл
Этот ответ устарел и больше не работает в Windows 2008 или новее. Я также ищу решение на 2012 год.
Рикардо C
6

В основном вам нужна следующая информация

  1. С какой машины аккаунт блокируется
  2. Какой процесс или действие на этой машине участвует в блокировке

Чтобы найти сначала, как только учетная запись заблокирована, перейдите к контроллеру основного домена вашего домена и найдите в журнале безопасности событие с идентификатором 644, в котором будет указано имя компьютера вызывающего абонента. Запишите имя машины и время, когда было сгенерировано событие.

Чтобы найти процесс или действие, перейдите на компьютер, указанный в указанном выше идентификаторе события, откройте журнал безопасности и найдите идентификатор события 529 с подробной информацией о блокировке учетной записи. В этом случае вы можете найти тип входа в систему, который должен сказать вам, как учетная запись пытается аутентифицироваться.

Событие 529 Подробнее

Событие 644 Подробности

Kapes
источник
3

Я работаю в службе поддержки уже около 4 лет, если ни одно из этих действий не помогло решить ваши проблемы с блокировкой, попробуйте поместить уязвимого пользователя в раздел AD «групповая политика не применена» (чтобы разрешить доступ к панели управления из своей учетной записи). а затем заставить их войти в систему и перейти к панели управления, выполнить поиск учетных данных и затем нажать «учетные данные». То, что появится, - это все учетные данные, хранящиеся на компьютерах (как правило, они устарели, т.е. неверны), удалите все данные из «хранилища», и это должно решить проблему без дальнейших проблем. Единственным побочным эффектом этого является то, что пользователю придется повторно вводить свои учетные данные при следующем использовании приложения. Надеюсь, что это помогает некоторым людям там

Джонатан
источник
1
Должно также позволить вам просматривать сохраненные учетные данные и точно знать, какое приложение вызывает его;) (обычно это программное обеспечение Adobe / Google / Apple Updater или редкое дополнение LYNC в outlook), единственная другая причина, которую я обнаружил, это то, что люди вводят неверные данные в свою работу телефоны (для электронной почты), которые также могут вызвать блокировку
Джонатан
К какой «панели управления» вы обращаетесь?
Дуглас состоялся
2

У меня был ученик в классе PowerShell, который задавал похожий вопрос. Ему нужно было знать, как найти клиента, на котором заблокированы учетные записи. Мы нашли ответ, используя комбинацию аудита и PowerShell. Ниже приведена ссылка на инструкцию и код.

http://mctexpert.blogspot.com/2012/08/where-did-users-account-get-locked-out.html

Джейсон Йодер
источник
3
Хотя это может теоретически ответить на вопрос, было бы предпочтительным включить здесь основные части ответа и предоставить ссылку для справки.
Скотт Пак
0

Эта тема слишком старая, но я просто хотел бы поделиться полезным инструментом, если у кого-то есть такая же проблема, читает эту ветку в будущем ..

Средство блокировки блокировки - это бесплатный инструмент, позволяющий быстро определить, откуда поступают недействительные учетные данные. Вы можете скачать средство блокировки блокировки

Как только вы узнаете исходную рабочую станцию, используя вышеупомянутый инструмент, найти приложение, вызывающее проблему, будет немного легко ...

Кроме того, проверьте службы, запланированные задачи, сохраненные сетевые пароли, пароли браузера, подключенные сетевые диски и т. Д ...

Гейб
источник