Strumento di blocco dell’account: Traccia gli eventi di blocco degli ANNUNCI

Penso che possiamo essere tutti d’accordo, la risoluzione dei blocchi casuali dell’account può essere un grosso dolore.

Un utente chiama l’helpdesk, si sblocca il loro account, 5 minuti dopo chiamano di nuovo con un altro blocco. A questo punto, tutti sono frustrati e nessuno sa cosa diavolo sta causando i blocchi.

Ho buone notizie.

Esistono strumenti di blocco dell’account che possono aiutare e rintracciare rapidamente l’origine del problema.,

In questo post, ti guiderò attraverso l’esatto processo passo passo che uso per rintracciare la fonte di blocchi di account casuali.

Strumento consigliato: SolarWinds Admin Bundle per Active Directory

3 Strumenti gratuiti, trova account utente o computer inattivi e importa rapidamente in blocco nuovi account utente.,

Scaricare una copia gratuita di Admin Bundle per Active Directory

Ci sono molti Strumenti di Active Directory, che può aiutare con la risoluzione dei problemi dei blocchi di account, ma il mio preferito è il Microsoft Account Lockout e Strumento di Gestione. E ‘ gratuito, semplice, facile da usare e viene fornito in bundle con diversi strumenti.

Cause comuni di blocco account:

Durante la risoluzione dei problemi di blocco account, tenere presente questo elenco, il 99% dei blocchi account sono causati da uno degli elementi di questo elenco.,

Dispositivi mobili

Telefoni e altri dispositivi mobili possono avere più applicazioni che richiedono le credenziali di Active directory, Outlook essendo su di loro. Quando l’utente cambia la password dell’ANNUNCIO potrebbe essere necessario aggiornare anche le proprie app mobili. Con sempre più utenti che hanno più dispositivi mobili questa è di solito la causa numero 1 da blocchi casuali.

Servizi

Ho visto i servizi impostati per essere eseguiti come un normale account utente. Ciò porterà ad alcuni problemi di blocco quando l’utente cambia la propria password. È possibile aprire la console dei servizi e vedere quale account sono configurati per l’esecuzione., Se un servizio deve essere eseguito come account di rete, è meglio creare un account di servizio e impostare la password in modo che non scada mai. Se non ha bisogno di accesso alla rete, quindi renderlo un account locale.

Attività

Come i servizi, le attività pianificate vengono spesso configurate con credenziali utente anziché con un account di servizio. Controllare le attività pianificate e assicurarsi che siano configurate per l’esecuzione in un account di servizio.

Le sessioni RDP

Le sessioni RDP verranno spesso chiuse invece di disconnettersi, ciò lascia la sessione RDP ancora connessa., A meno che non si disponga di un criterio che forza la disconnessione dopo un periodo di tempo, gli utenti potrebbero rimanere con sessioni RDP obsolete. È consigliabile disconnettere le sessioni RDP al termine.

Servizi di autenticazione LDAP

Questo è come i servizi, ma lo menziono separatamente perché ci sono molte applicazioni che utilizzano l’autenticazione di Active Directory.
Per funzionare, l’applicazione necessita di una configurazione dell’account in grado di leggere gli oggetti AD. Ho visto i singoli account utilizzati per questo molte volte. Come i servizi e le attività, è meglio creare un account di servizio per questo.,

Errore utente

Gli utenti semplicemente digitando la loro password sbagliata. Questo generalmente non risulta casuale, continua i blocchi ma crea chiamate all’helpdesk.

Passo #1: Requisiti

È necessario impostare i seguenti requisiti altrimenti lo strumento di blocco non funzionerà correttamente.

1. Un criterio di controllo deve essere impostato su tutti i computer e controller di dominio, dettagli di seguito. Si consiglia di utilizzare criteri di gruppo per gestire i criteri di controllo su tutti i computer.

2. È necessario disporre delle autorizzazioni per visualizzare i registri di sicurezza sui controller di dominio e sui computer.,

Configurare il criterio di controllo con Criteri di gruppo

Per i controller di dominio configurare le impostazioni del criterio di controllo nel criterio di controller di dominio predefinito.
Per i computer, è possibile impostare questo nel Criterio di dominio predefinito.

Consultare la guida alle best practice dei criteri di gruppo per suggerimenti sui criteri di dominio predefiniti.

1., Nella console gestione criteri di Gruppo espandere configurazione computer > Politiche > Impostazioni di Windows > Impostazioni di Protezione > Criteri Locali > Criteri di Controllo

2. Abilitare gli eventi di accesso account di controllo e gli eventi di accesso di controllo, abilitare sia il successo che il fallimento.

Qual è la differenza tra le due impostazioni dei criteri?,

Audit account logon events: Per gli account di dominio, questo criterio acquisirà gli eventi di accesso / disconnessione sul controller di dominio. Quindi, quando accedi al dominio, gli eventi verranno registrati sul controller di dominio.
Verifica eventi di accesso: questo criterio catturerà gli eventi di accesso/disconnessione sulla workstation.

Passo # 2: Scaricare e installare

L’installazione estrae solo il contenuto in una cartella di vostra scelta.

2. Accetta la licenza per l’utente finale

3. Digitare la posizione in cui si desidera estrarre gli strumenti.


4., Installazione completata

Una volta estratto il file, dovresti avere un elenco di file come di seguito. Il download contiene diversi file e strumenti, ma per rintracciare la fonte dei problemi di blocco dell’account utilizzerò LockOutStatus.solo strumento exe.

Passo #4: Esegui Lockoutstatus.exe

1. Eseguire il Lockoutstatus.strumento exe dalla cartella estratta in

2. File > Seleziona Destinazione

3. Nella casella nome utente di destinazione immettere il nome di accesso dell’utente (chiamato anche SAMAccountName).,

4. Nel dominio di destinazione inserisci il tuo dominio

5. Fare clic su OK

Ora si dovrebbe vedere lo stato di blocco dell’account selezionato.

Prendi nota di queste colonne:

Stato utente – è bloccato
Tempo di blocco – se è bloccato non fa del tempo di blocco esatto
Blocco Org – Questo è il controller di dominio su cui è stato originariamente bloccato.

Nel mio esempio l’utente testguy è bloccato, il tempo di blocco è 7:14:40 AM e il suo blocco Orig è srvung011.,

Ora che abbiamo queste informazioni, passare ai passaggi successivi.

Passo # 5: Trova il computer chiamante (computer di origine)

1. Apri Visualizzatore eventi sul server che mostra nel blocco Orig

2. Vai a registri di sicurezza

3. Filtrare gli eventi e per ID 4740

tasto Destro del mouse sulla Sicurezza e selezionare filtro corrente log

Immettere l’ID evento 4740 nel campo ID evento

fare Clic su OK

ora Si dovrebbe vedere solo gli eventi 4740., Trova l’evento che si è verificato alla data e all’ora mostrate dallo strumento.

Posso vedere dai registri che i blocchi provengono da un PC chiamato V001. Ora che conosci il computer di origine potresti già sapere cosa sta causando il problema. In caso contrario, vai al passaggio # 6 per trovare maggiori dettagli su cosa esattamente sulla fonte sta causando i blocchi.

Passo #6: Visualizza i registri sul computer del chiamante

Se i passaggi dall’alto hanno rivelato il computer del chiamante e hai ancora bisogno di maggiori dettagli, segui questi passaggi.

1., Aprire i registri degli eventi di sicurezza sul computer del chiamante e guardare i registri con l’ora esatta del blocco. A seconda di cosa sta causando il blocco, l’eventid sarà diverso. Nel mio esempio, è l’ID evento 4625.

Guardando i dettagli che posso il processo è winlogon.exe e un tipo di accesso di 2. Una rapida ricerca su Google mi dice che questo evento viene creato quando un utente tenta di accedere alla tastiera locale. Quindi questo mi dice che l’utente sta semplicemente inserendo la propria password in modo errato nella schermata di accesso di Windows.,

Eccolo, 6 semplici passaggi per rintracciare i problemi di blocco dell’account.

Di seguito è riportato un altro esempio in cui i blocchi di origine provengono dal telefono cellulare di un utente.

Esempio 2

Questo esempio bloccherò un account da un dispositivo mobile. I passaggi sono gli stessi di cui sopra Voglio solo vedere che il controller di dominio di blocco originale può essere diverso e il processo o il servizio possono essere diversi sul computer di origine.,

L’account è stato bloccato su DC1 questa volta alle 7:27:25 AM

Filtra i log degli eventi su DC1 e guarda i dettagli per un computer chiamante.

GENETECMOBILE è la fonte.

Quando controllo i registri degli eventi su GENTECMOBILE vedo un eseguibile nei file di programma genetec.

Con queste informazioni, so che un utente sta tentando di autenticarsi da un’app sul proprio dispositivo mobile.

Cosa succede se non c’è un computer chiamante?,

Di seguito sono riportati diversi suggerimenti per quando non c’è nessun computer chiamante elencato in EvenID 4740.

  • Chiedi all’utente di ricontrollare il proprio dispositivo mobile e assicurarsi di aver aggiornato la propria password in tutte le app. Questa è la causa comune #1 dei blocchi, quindi è per questo che lo menziono di nuovo.
  • Disabilitare ActiveSync e OWA per l’utente per vedere se si arresta il blocco. Se questo lo ha risolto, devono aggiornare le proprie credenziali sul dispositivo mobile.
  • Chiedi all’utente di lavorare su un computer diverso per la giornata. Le vecchie credenziali possono essere salvate in un’app locale o nel browser dell’utente., Lavorare da un computer diverso per il giorno può aiutare a restringere se il problema è con il proprio computer.

Altri strumenti:

Netwrix Account Lockout Examiner-Questo strumento rileva i blocchi degli account in tempo reale e può inviare avvisi e-mail. Ho provato questo strumento e ha mostrato i blocchi dell’account in tempo reale, ma ha avuto problemi a trovare la fonte del blocco dell’account.

PowerShell – Articolo del TechNet scripting guy che spiega come utilizzare PowerShell per trovare gli utenti bloccati posizione. Lo script sta facendo fondamentalmente ciò che sta facendo lo strumento lockoutstatus., Se siete in PowerShell questo potrebbe essere uno script molto utile. Potresti fondamentalmente automatizzare i passaggi che ho fornito.

Spero che questo articolo ti abbia aiutato a trovare la fonte dei blocchi degli account nel tuo ambiente. Se avete domande lasciate un commento qui sotto.,

Vedi anche: Come Trovare e rimuovere raffermo account utente e computer

lo Strumento Consigliato: SolarWinds Server & Application Monitor

Questo programma di utilità è stato progettato per il monitoraggio di Active Directory e di altri importanti servizi come DNS & DHCP. Individua rapidamente i problemi del controller di dominio, previene gli errori di replica, tiene traccia dei tentativi di accesso falliti e molto altro.

Quello che mi piace di più di SAM è che è facile da usare dashboard e funzioni di avviso., Ha anche la capacità di monitorare macchine virtuali e storage.

Scarica la tua versione di prova gratuita qui

Share

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *