Tilin Lockout Tool: Jäljittää AD Lockout Tapahtumia

– uskon, että voimme kaikki yhtä mieltä siitä, vianmääritys satunnainen tilin työsulusta voi olla suuri kipu.

käyttäjä soittaa HelpDeskiin, avaa tilin, 5 minuuttia myöhemmin he soittavat uudelleen toisella työsululla. Tässä vaiheessa kaikki ovat turhautuneita, eikä kukaan tiedä, mikä ihme aiheuttaa työsulkuja.

I ’ ve got good news.

On olemassa tilin lukitus työkaluja, jotka voivat auttaa ja nopeasti jäljittää ongelman lähde.,

tässä viestissä saatan sinut läpi tarkan askel askeleelta prosessin, jota käytän satunnaisten tilisulkujen lähteen seurantaan.

On olemassa monia Active Directory Työkaluja, jotka voivat auttaa vianmääritys tilin työsulusta, mutta minun suosikki on Microsoft-Tilin Lockout-ja hallintatyökalu. Se on ilmainen, yksinkertainen, helppokäyttöinen ja mukana tulee useita työkaluja.

yleisimmät syyt tilin työsulusta:

Kun vianmääritys tilin työsulusta, pitää tämä lista mielessä, 99% – tilin työsulusta on aiheuttanut yksi kohteita tähän luetteloon.,

mobiililaitteet

Puhelimet ja muut mobiililaitteet voi olla useita sovelluksia, jotka vaativat active directory-tunnistetiedot, Outlook on niistä. Kun käyttäjä vaihtaa MAINOSSALASANAA, hän saattaa joutua päivittämään myös mobiilisovelluksensa. Yhä useammat käyttäjät, joilla on useita mobiililaitteita tämä on yleensä #1 syy satunnaisista työsuluista.

palvelut

olen nähnyt säännölliseksi käyttäjätiliksi asetettuja palveluita. Tämä johtaa joihinkin työsulkuongelmiin, kun käyttäjä vaihtaa salasanansa. Voit avata palvelukonsolin ja nähdä, millä tilillä ne on asetettu toimimaan., Jos Palvelun täytyy toimia verkkotilinä, on parasta luoda palvelutili ja asettaa salasana, joka ei koskaan vanhene. Jos se ei tarvitse verkkoyhteyttä, tee siitä paikallinen tili.

Tehtävät

Kuten palvelut, ajoitetut tehtävät ovat usein asetukset käyttäjätiedot sijaan palvelun tili. Tarkista ajoitetut tehtävät ja varmista, että ne on asetettu toimimaan palvelutilillä.

RDP sessions

RDP sessions suljetaan usein ulos kirjautumisen sijaan, jolloin RDP-istunto on vielä kirjautunut sisään., Ellei sinulla ole politiikkaa, joka pakottaa logoff jälkeen ajan, käyttäjille voidaan jättää tunkkainen RDP istuntoja. On paras käytäntö kirjautua pois RDP istuntoja, kun valmis.

LDAP authentication services

Tämä on kuin palveluita, mutta mainitsen sen erikseen, koska Active Directory authentication-sovellusta käyttävät monet sovellukset.
jotta tämä toimisi sovellus tarvitsee Tilin asetukset, jotka voivat lukea mainoksen objektit. Olen nähnyt yksittäisiä tilejä käytettävän tähän monta kertaa. Palveluiden ja tehtävien tapaan tähän kannattaa luoda palvelutili.,

käyttäjävirhe

käyttäjät yksinkertaisesti kirjoittavat salasanansa väärin. Tämä ei yleensä johda satunnaisiin, jatkaa työsulkuja, mutta luo puheluita HelpDeskiin.

Vaihe #1: Vaatimukset

seuraavat vaatimukset on asetettava tai työsulku työkalu ei toimi kunnolla.

1. Tilintarkastuskäytäntö on asetettava kaikille tietokoneille ja verkkotunnuksen ohjaimet, tiedot alla. Suosittelen käyttämään ryhmäkäytäntöä kaikkien tietokoneiden tilintarkastuskäytännön hallinnointiin.

2. Sinulla on oltava käyttöoikeudet tarkastella suojauslokit verkkotunnuksen ohjaimet ja tietokoneet.,

Määritä kanssa Audit Policy Group Policy

toimialueen ohjaimet määrittää audit policy-asetukset Default Domain Controllers Policy.
tietokoneille, voit asettaa tämän Oletustunnuskäytännössä.

Katso ryhmäkäytäntöjen parhaat käytännöt-opas vinkkejä oletusalakohtaiseen käytäntöön.

1., Group policy management console laajenna tietokoneasetukset > Politiikkaa > Windowsin Asetukset > Turvallisuus-Asetukset > Paikalliset käytännöt > Audit Policy

2. Ota käyttöön Audit account logon-tapahtumat ja audit logon-tapahtumat, Ota käyttöön sekä menestys että epäonnistuminen.

Mikä on ero näiden kahden politiikan asetuksia?,

Audit account logon events: For domain tilejä, tämä politiikka on kaapata logon/logoff tapahtumia domain controller. Joten kun kirjaudut verkkotunnukseen, tapahtumat kirjautuvat verkkotunnuksen ohjaimeen.
Audit logon events: this policy will capture logon/logoff events at the workstation.

Vaihe 2: Lataa ja asenna

asenna vain otteita sisältö kansioon valinta.

2. Hyväksy käyttöoikeussopimus

3. Kirjoita sijainti, jossa haluat työkalut uutetaan.

4., Asenna valmis

kun tiedosto on uutettu, sinulla pitäisi olla luettelo alla olevista tiedostoista. Lataus sisältää useita tiedostoja ja työkaluja, mutta jäljittää lähde tili työsulku kysymyksiä aion käyttää LockOutStatus.vain exe-työkalu.

Vaihe #4: Suorita Lockoutstatus.exe

1. Hoida työsulku.exe työkalu kansiosta, jonka olet poiminut

2. Tiedoston > Valitse Kohde

3. Kirjoita kohdekäyttäjän nimi-ruutuun käyttäjän kirjautumistunnus (kutsutaan myös SAMAccountName).,

4. Anna verkkotunnuksesi Kohdealueella

5. Valitse OK,

Sinun pitäisi nyt nähdä työsulku tilin tila on valittu.

huomioi nämä sarakkeet:

Käyttäjän State – onko se lukittu
Lockout Aikaa – jos sen lukittu tehdä ole tarkkaa Työsulun Ajan
Org Lock – Tämä on toimialueen ohjain, että se oli alun perin lukittu.

– minun esimerkiksi käyttäjän testguy on lukittu, lukitus-aika on 7:14:40 AM ja sen Orig Lukko on srvung011.,

nyt kun meillä on tämä tieto, siirry seuraaviin vaiheisiin.

Vaihe #5: Etsi soittajan tietokone (lähde tietokone)

1. Avaa Tapahtumakatseluohjelma palvelimella, joka näkyy Orig-lukossa

2. Siirry turvalokkeihin

3. Suodatin tapahtumia ja ID 4740

Napsauta hiiren kakkospainikkeella Security ja valitse suodata nykyinen loki.

Syötä tapahtuman TUNNUS 4740 vuonna tapahtuma ID-kenttä

Valitse OK.

Sinun pitäisi nyt nähdä vain tapahtumia 4740., Etsi tapahtuma, joka tapahtui päivänä ja ajankohtana, että työkalu osoitti.

voin nähdä lokit lukitukset tulevat PC-kutsutaan V001. Nyt kun tiedät lähdetietokoneen, saatat jo tietää, mikä aiheuttaa ongelman. Jos ei mennä vaiheessa # 6 löytää lisätietoja siitä, mitä tarkalleen lähde aiheuttaa työsulku.

Vaihe #6: Näytä lokit soittajan tietokone

Jos vaiheet yllä kävi ilmi, soittajan tietokoneen ja tarvitset vielä lisätietoja, noudata näitä ohjeita.

1., Avaa soittajan tietokoneen tietoturvatapahtumalokit ja katso lokit tarkalla työsulun ajankohdalla. Riippuen siitä, mikä aiheuttaa työsulun, eventid on erilainen. Esimerkissäni se on tapahtumatunnus 4625.

Katsomalla yksityiskohtia en voi prosessi on winlogon.exe ja logon tyyppi 2. Nopea google-haku kertoo, että tämä tapahtuma syntyy, kun käyttäjä yrittää kirjautua paikallisella näppäimistöllä. Joten tämä kertoo minulle, että käyttäjä vain syöttää salasanansa väärin windows logon-näytöllä.,

Siellä on se, 6 yksinkertainen vaiheet jäljittää huomioon lock out-ongelmia.

Alla on toinen esimerkki, jossa lähde lukitukset tulevat käyttäjän matkapuhelin.

Esimerkki 2

Tämä esimerkki lukitsen tilin mobiililaitteesta. Vaiheet ovat samat kuin edellä, haluan vain nähdä, että alkuperäinen lukitus domain controller voi olla erilainen, ja prosessi tai palvelu voi olla eri lähteestä tietokone.,

Tili oli lukittu ulos DC1-tällä kertaa klo 7:27:25 AM,

Suodata tapahtuma lokit DC1 ja katso tiedot soittajan tietokone.

GENETECMOBILE on lähde.

kun tarkistan gentecmobilen tapahtumalokit näen suoritettavan genetec-ohjelmatiedostoissa.

näillä tiedoilla tiedän, että käyttäjä yrittää autentikoida mobiililaitteensa sovelluksesta.

entä jos soittajatietokonetta ei ole?,

Alla on useita vinkkejä, kun ei ole soittajan tietokoneen lueteltu EvenID 4740.

• käyttäjä doublecheck heidän mobiililaitteen ja varmista, että he ovat päivittäneet salasana kaikki sovellukset. Tämä on #1 yleinen syy työsulku joten siksi mainitsen sen uudelleen.
• Poista ActiveSync ja OWA käytöstä, jotta käyttäjä näkee, estääkö se työsulun. Jos tämä korjasi sen, heidän on päivitettävä valtakirjansa mobiililaitteeseen.
• Käske käyttäjän työskennellä päivän eri tietokoneella. Vanhat tunnukset voidaan tallentaa paikalliseen sovellukseen tai käyttäjän selaimeen., Työskentely eri tietokone päivä voi auttaa kaventamaan, jos ongelma on heidän tietokone.

Lisää työkaluja:

Netwrix Account Lockout Examiner – Tämä työkalu havaitsee tilin työsulusta reaaliajassa ja sen voi lähettää sähköposti-ilmoituksia. Annoin tämä työkalu yrittää ja se ei näytä tilin työsulusta reaaliajassa, mutta se oli ongelmia löytää lähde tilin työsulku.

PowerShell – Artikkelissa TechNet-scripting kaveri, joka selittää miten käyttää PowerShell löytää käyttäjiä lukittu pois sijainti. Käsikirjoitus tekee käytännössä sitä, mitä työsulku-työkalu tekee., Jos olet PowerShell tämä voisi olla erittäin kätevä käsikirjoitus. Voisit periaatteessa automatisoida tarjoamani vaiheet.

Toivottavasti tämä artikkeli auttoi sinua löytämään tilisulkujen lähteen ympäristöstäsi. Jos sinulla on kysyttävää, jätä kommentti alla.,

Katso myös: Miten Löytää ja poistaa tunkkainen käyttäjän ja tietokoneen tilit,