Fiókzáró eszköz: nyomon követheti a HIRDETÉSZÁRÁSI eseményeket

sok Active Directory Eszközök, amelyek segítik a hibaelhárítás figyelembe gyárfoglalások, de a kedvencem a Microsoft-Fiók Lezárásnak, Menedzsment Eszköz. Ez ingyenes, egyszerű, könnyen használható, és jön a csomagban több eszközt.

A fiókzárások gyakori okai:

a fiókzárolások hibaelhárításakor tartsa szem előtt ezt a listát, a fiókzárások 99% – át a listán szereplő elemek okozzák.,

mobil eszközök

a telefonok és más mobil eszközök több olyan alkalmazással is rendelkezhetnek, amelyek active directory hitelesítő adatokat igényelnek, az Outlook pedig rajtuk van. Amikor a felhasználó megváltoztatja hirdetési jelszavát, előfordulhat, hogy frissítenie kell mobilalkalmazásait is. Mivel egyre több felhasználó rendelkezik több mobil eszközzel, ez általában a # 1 oka a véletlenszerű lezárásoknak.

szolgáltatások

láttam, hogy a szolgáltatások rendszeres felhasználói fiókként futnak. Ez bizonyos zárolási problémákhoz vezet, amikor a felhasználó megváltoztatja jelszavát. Megnyithatja a szolgáltatáskonzolt, majd megnézheti, hogy milyen fiókként van beállítva a futtatáshoz., Ha egy szolgáltatásnak hálózati fiókként kell futnia, akkor a legjobb, ha létrehoz egy szolgáltatási fiókot, majd beállítja a jelszót, hogy soha ne járjon le. Ha nincs szüksége hálózati hozzáférésre, akkor készítsen helyi fiókot.

feladatok

hasonló szolgáltatások, az ütemezett feladatok gyakran felhasználói hitelesítő adatokkal vannak beállítva a szolgáltatási fiók helyett. Ellenőrizze az ütemezett feladatokat, és győződjön meg róla, hogy a beállítás egy szolgáltatási fiók alatt fut.

RDP sessions

RDP sessions will often be closed out instead of logging out, this leaves the RDP session still logged into., Hacsak nincs olyan politikája, amely egy idő után kényszeríti a kijelentkezést, a felhasználókat elavult RDP-munkamenetekkel lehet hagyni. A legjobb gyakorlat, hogy jelentkezzen ki RDP ülések, ha kész.

LDAP hitelesítési szolgáltatások

Ez olyan, mint a szolgáltatások, de külön megemlítem, mert sok alkalmazás használja az Active Directory hitelesítést.
ahhoz, hogy ez működjön, az alkalmazásnak szüksége van egy fiókbeállításra, amely képes olvasni a hirdetési objektumokat. Sokszor láttam már ehhez használt egyéni számlákat. Mint szolgáltatások, feladatok, a legjobb, hogy hozzon létre egy szolgáltatási fiókot erre.,

felhasználói hiba

a felhasználók egyszerűen rosszul írják be a jelszavukat. Ez általában nem eredményez véletlenszerűséget, folytatja a zárolást, de hívásokat hoz létre a helpdesk-hez.

1. lépés: követelmények

a következő követelményeket kell beállítani, vagy a lockout eszköz nem fog megfelelően futni.

1. Minden számítógépen és tartományvezérlőn be kell állítani egy ellenőrzési szabályzatot, az alábbi részleteket. Azt javaslom, hogy használja a csoportházirendet az összes számítógép ellenőrzési politikájának kezeléséhez.

2. Engedélyekkel kell rendelkeznie a tartományvezérlők és számítógépek biztonsági naplóinak megtekintéséhez.,

konfigurálja az ellenőrzési házirendet a csoportházirenddel

a tartományvezérlők esetében az alapértelmezett tartományvezérlők házirendjében konfigurálja az ellenőrzési házirend beállításait.
a számítógépek esetében ezt az alapértelmezett tartomány házirendben állíthatja be.

Az alapértelmezett tartománypolitikára vonatkozó tippeket lásd a Csoportházirend legjobb gyakorlatairól szóló útmutatóban.

1., A csoportházirend-kezelő konzolban bontsa ki a számítógép konfigurációját > házirendek > Windows beállítások > Biztonsági beállítások Helyi házirendek ellenőrzési politika

2. Engedélyezze az ellenőrzési fiók bejelentkezési eseményeit és az ellenőrzési bejelentkezési eseményeket, engedélyezze mind a sikert, mind a kudarcot.

mi a különbség a két házirend-beállítás között?,

Audit fiók bejelentkezési események: domain fiókok esetén ez a házirend rögzíti a bejelentkezési/kijelentkezési eseményeket a tartományvezérlőn. Tehát amikor bejelentkezik a tartományba, az események bejelentkeznek a tartományvezérlőbe.
ellenőrzési bejelentkezési események: ez a házirend rögzíti a bejelentkezési / kijelentkezési eseményeket a munkaállomáson.

2. lépés: letöltés és telepítés

a telepítés csak kivonja a tartalmat az Ön által választott mappába.

2. Fogadja el a Végfelhasználói licencet

3. Írja be azt a helyet, ahová az eszközöket ki szeretné vonni.

4., Telepítés befejeződött

a fájl kibontása után rendelkeznie kell az alábbi fájlok listájával. A letöltés több fájlt és eszközt tartalmaz, de a fiókzárolási problémák forrásának nyomon követéséhez a Lockoutstatust fogom használni.csak exe eszköz.

4.lépés: futtassa a Lockoutstatust.exe

1. Futtassa a Lockoutstatust.exe eszköz a kibontott mappából

2. File > Select Target

3. A cél felhasználónév mezőbe írja be a felhasználó bejelentkezési nevét (más néven SAMAccountName).,

4. A céltartományba írja be a tartományt

5. Kattintson az OK gombra

Most látnia kell a kiválasztott fiók lezárási állapotát.

jegyezze fel ezeket az oszlopokat:

Felhasználói állapot-le van zárva
zárolási idő – ha a zárolt nem a pontos lezárási idő
Org zárolás – ez a tartományvezérlő, amelyre eredetileg be volt zárva.

példámban a felhasználói testguy ki van zárva, a zárolási idő 7:14:40, Az Orig zár pedig srvung011.,

most, hogy megvan ez az információ, lépjen tovább a következő lépésekre.

5. lépés: Keresse meg a hívó számítógépet (forrás számítógép)

1. Nyissa meg az Eseménynézegetőt a kiszolgálón, amely az Orig Lock

2-ben jelenik meg. Ugrás a biztonsági naplók

3. Az események szűrése és az ID 4740

jobb egérgombbal kattintson a biztonságra, és válassza a szűrő aktuális naplóját

írja be az eseményazonosítót 4740 az eseményazonosító mezőbe

kattintson az OK

most már csak az 4740 eseményeket kell látnia., Keresse meg azt az eseményt, amely az eszköz megjelenítésének időpontjában történt.

a naplókból látom, hogy a zárolások egy V001 nevű számítógépről származnak. Most, hogy ismeri a forrás számítógépet, már tudja, mi okozza a problémát. Ha nem megy a 6. lépésre, hogy további részleteket találjon arról, hogy pontosan mi okozza a zárolást a forráson.

6. lépés: naplók megtekintése a hívószámítógépen

Ha a fenti lépések felfedték a hívószámítógépet, és még további részletekre van szüksége, akkor kövesse az alábbi lépéseket.

1., Nyissa meg a biztonsági eseménynaplókat a hívó számítógépén, majd nézze meg a naplókat a lezárás pontos idejével. Attól függően, hogy mi okozza a lezárást, az eventid más lesz. Az én példámban ez az esemény azonosító 4625.

a folyamat részleteit tekintve winlogon.exe és a 2-es típusú bejelentkezési típus. Egy gyors google keresés azt mondja, hogy ez az esemény akkor jön létre, amikor egy felhasználó megpróbál bejelentkezni a helyi billentyűzeten. Tehát ez azt mondja, hogy a felhasználó csak rosszul írja be jelszavát a windows bejelentkezési képernyőn.,

ott van, 6 egyszerű lépés a fiókzárolási problémák nyomon követéséhez.

Az alábbiakban egy másik példa, ahol a forrászárak a felhasználó mobiltelefonjáról származnak.

2. példa

Ez a példa zárol egy fiókot egy mobil eszközről. A lépések ugyanazok, mint fent csak azt szeretném látni, hogy az eredeti lockout tartományvezérlő eltérő lehet, A folyamat vagy a szolgáltatás pedig eltérő lehet a forrás számítógépen.,

a fiókot ezúttal 7:27:25-kor zárták ki a DC1-en, és megnézték a hívó számítógép adatait.

GENETECMOBILE a forrás.

amikor ellenőrzöm a gentecmobile eseménynaplóit, egy végrehajtható fájlt látok a genetec programfájlokban.

ezzel az információval tudom, hogy egy felhasználó megpróbál hitelesíteni egy alkalmazást a mobileszközén.

mi van, ha nincs hívó számítógép?,

Az alábbiakban néhány tipp található, ha nincs hívó számítógép a EvenID 4740-ben.

• kérje meg a felhasználót, hogy duplán jelölje be mobilkészülékét, és győződjön meg róla, hogy minden alkalmazásban frissítette a jelszavát. Ez a #1 a zárolások gyakori oka, ezért ismét megemlítem.
• tiltsa le az ActiveSync-t és az OWA-t, hogy a felhasználó lássa, hogy ez megállítja-e a zárolást. Ha ez javította, akkor frissíteniük kell hitelesítő adataikat a mobil eszközön.
• a felhasználó egy másik számítógépen dolgozik a nap folyamán. A régi hitelesítő adatokat el lehet menteni egy helyi alkalmazásban vagy a felhasználó böngészőjében., Munka egy másik számítógép a nap segíthet szűkíteni, ha a probléma a számítógép.

további eszközök:

Netwrix Account Lockout Examiner-ez az eszköz valós időben észleli a fiókzárakat, és e-mail riasztásokat küldhet. Adtam ezt az eszközt egy próbát, de nem mutatják fiók zárolások valós időben, de volt probléma megtalálni a forrása a számla zárolás.

PowerShell-cikk a TechNet scripting srác, hogy elmagyarázza, hogyan kell használni PowerShell, hogy megtalálják a felhasználók zárva helyen. A szkript alapvetően azt teszi, amit a lockoutstatus eszköz csinál., Ha a PowerShell ez lehet egy nagyon praktikus script. Alapvetően automatizálhatja az általam megadott lépéseket.

remélem, hogy ez a cikk segített megtalálni a fiókzárások forrását a környezetében. Ha bármilyen kérdése van, hagyjon megjegyzést alább.,

Lásd még: Hogyan lehet megtalálni és eltávolítani elavult felhasználói és számítógépes számlák