Ferramenta de bloqueio de contas: Rastrear eventos de bloqueio AD

Existem muitas ferramentas de directório activas que podem ajudar com bloqueios de conta de resolução de problemas, mas o meu favorito é a Ferramenta de bloqueio e gestão da conta da Microsoft. É gratuito, simples, fácil de usar e vem junto com várias ferramentas.

causas comuns de bloqueios de conta:

ao resolver bloqueios de conta, tenha em mente esta lista, 99% dos bloqueios de conta são causados por um dos itens desta lista.,

dispositivos móveis

telefones e outros dispositivos móveis podem ter múltiplas aplicações que requerem credenciais de diretório ativo, sendo o Outlook sobre eles. Quando o usuário muda sua senha de anúncio, eles podem precisar atualizar seus aplicativos móveis também. Com mais e mais usuários tendo vários dispositivos móveis, esta é geralmente a Causa #1 de lockouts aleatórios.

Serviços

vi Serviços definidos para serem executados como uma conta de utilizador regular. Isso levará a alguns problemas de lockout quando o usuário muda sua senha. Você pode abrir a consola de serviços e ver que conta eles são configurados para executar como., Se um serviço precisa ser executado como uma conta de rede, é melhor criar uma conta de serviço e definir a senha para nunca expirar. Se não precisar de acesso à rede, faça dela uma conta local.

Tarefas

serviços semelhantes, tarefas agendadas são muitas vezes configuradas com credenciais de usuário em vez de uma conta de serviço. Verifique as tarefas agendadas e certifique-se de que elas são configuradas para executar sob uma conta de serviço.

RDP sessions

RDP sessions will often be closed out instead of logging out, this leaves the RDP session still loged into., A menos que você tenha uma política que force o logoff após um período de tempo, os usuários poderiam ser deixados com as sessões RDP obsoletas. É uma boa prática cancelar as sessões do RDP quando terminadas.

a autenticação LDAP serviços

Este é como serviços, mas estou a falar-lo separadamente, pois existem muitos aplicativos que usam a autenticação do Active Directory.
para isso funcionar a aplicação precisa de uma configuração de conta que pode ler os objetos do anúncio. Já vi contas individuais usadas para isto muitas vezes. Como serviços e tarefas, é melhor criar uma conta de Serviço para isso.,

erro do utilizador

os utilizadores simplesmente escrevem mal a sua senha. Isso geralmente não resulta em aleatório, continua lockouts, mas cria chamadas para o helpdesk.

Passo #1: Requisitos

os seguintes requisitos devem ser definidos ou a ferramenta de bloqueio não irá funcionar correctamente.1. Uma política de auditoria deve ser definida em todos os computadores e controladores de domínio, detalhes abaixo. Eu recomendo usar a Política de grupo para gerenciar a Política de auditoria em todos os computadores.2. Você deve ter permissões para ver os logs de segurança nos controladores de domínio e computadores.,

Configure a Política de auditoria com a Política de grupo

para os controladores de domínio configure a Política de auditoria na Política de controladores de domínio por omissão.
para os computadores, você pode definir isso na Política de domínio padrão.

veja o Guia de Boas Práticas da política do meu grupo para dicas sobre a Política de domínio padrão.1., No console de gerenciamento de diretiva de Grupo, expanda configuração do computador > Diretivas > Configurações do Windows > Configurações de Segurança > Diretivas Locais > Diretiva de Auditoria

2. Activar os eventos de logon de contas de auditoria e os eventos de logon de auditoria, permitindo tanto o sucesso como o fracasso.

Qual é a diferença entre as duas definições de política?,

eventos de logon de contas de auditoria: para as contas de domínio, esta política irá capturar eventos de logon/logoff no controlador de domínio. Assim, quando você entrar no domínio, os eventos serão registrados no controlador de domínio.
Audit logon events: This policy will capture logon/logoff events at the workstation.

Passo # 2: Baixar e instalar

a instalação extrai apenas o conteúdo para uma pasta à sua escolha.2. Aceite a Licença de utilizador final

3. Escreva o local onde deseja extrair as ferramentas.

4., Install completed

Uma vez que o ficheiro é extraído, deverá ter uma lista de ficheiros como em baixo. O download contém vários arquivos e ferramentas, mas para rastrear a fonte de problemas de bloqueio de conta eu estarei usando o LockOutStatus.apenas uma ferramenta exe.

Step #4: Run Lockoutstatus.exe

1. Corre o Lockoutstatus.ferramenta exe da pasta que você extraiu para

2. File Seleccione o alvo

3. No campo Nome de utilizador do Destino, indique o nome do Utilizador (também chamado de SAMAccountName).,4. No domínio de destino, introduza o seu domínio

5. Carregue em OK

deverá agora ver o estado de bloqueio da conta que seleccionou.

tome nota destas colunas:

Estado do Utilizador-está bloqueado O tempo de Lockout-se a sua marca bloqueada não for a hora exacta de Lockout
Org Lock – este é o controlador de domínio em que foi originalmente bloqueado.

No meu exemplo, o usuário testguy está bloqueada, o tempo de bloqueio é 7:14:40 AM e o seu Orig Bloqueio é srvung011.,

Agora que temos esta informação, passe para os próximos passos.

Passo # 5: Encontrar o computador de chamada (computador de origem)

1. Abrir o Visualizador de Eventos no servidor que aparece no Lock Orig

2. Ir para os diários de segurança

3. Filtro de eventos e para a IDENTIFICAÇÃO 4740

botão Direito do Mouse em Security e selecione filtrar log atual

Insira o ID de evento 4740 no campo ID do evento

Clique em OK

agora, Você deve ver apenas os eventos 4740., Encontre o evento que aconteceu na data e hora que a ferramenta mostrou.

i can see from the logs the lockouts are coming from a PC called V001. Agora que você conhece o computador de origem você pode já saber o que está causando o problema. Se não for ao passo 6 para encontrar mais detalhes sobre o que exatamente na fonte está causando os lockouts.

Passo #6: ver os logs no computador de chamada

Se os passos de cima revelou o computador de chamada e você ainda precisa de mais detalhes, em seguida, siga estes passos.1., Abre os registos do evento de segurança no computador de chamadas e vê os registos com a hora exacta do bloqueio. Dependendo do que está causando o lockout o eventid será diferente. No meu exemplo, é o documento de identificação 4625.

olhando para os detalhes que posso o processo é winlogon.exe e um tipo de logon 2. Uma pesquisa rápida no google diz-me que este evento é criado quando um utilizador tenta ligar-se ao teclado local. Isto diz-me que o Utilizador está a introduzir a senha errada no ecrã do Windows logon.,

lá você tem, 6 passos simples para rastrear questões de bloqueio de conta.

abaixo está outro exemplo onde os bloqueios de código vêm de um celular do Usuário.

Exemplo 2

Este exemplo I will lock out an account from a mobile device. Os passos são os mesmos que acima eu só quero ver que o controlador de domínio lockout original pode ser diferente e o processo ou serviço pode ser diferente no computador de origem.,

Conta foi bloqueada no DC1 desta vez às 7:27:25 AM

Filtrar os logs de eventos no DC1 e veja os detalhes para um chamador computador.

GENETECMOBILE is the source.

quando verifico os registos do evento no GENTECMOBILE, vejo um executável nos ficheiros do programa genetec.com esta informação, sei que um Utilizador está a tentar autenticar-se a partir de uma aplicação no seu dispositivo móvel.

se não houver um computador de chamada?,

abaixo estão várias dicas para quando não há nenhum computador de chamada listado no EvenID 4740.

• tenha o usuário dobrando seu dispositivo móvel e certifique-se de que eles atualizaram sua senha em todos os aplicativos. Esta é a causa comum de lockouts número 1, por isso é que estou a mencioná-lo novamente.
• desactive ActiveSync e OWA para que o utilizador veja se isso impede os bloqueios. Se isso corrigi – lo, então eles precisam atualizar suas credenciais no dispositivo móvel.Faça o usuário trabalhar em um computador diferente para o dia. As credenciais antigas podem ser gravadas em um aplicativo local ou no navegador do Usuário., Trabalhar a partir de um computador diferente para o dia pode ajudar a reduzir se o problema é com o seu computador.

Mais ferramentas:

examinador de Bloqueio Da Conta Netwrix – esta ferramenta detecta bloqueios da conta em tempo real e pode enviar alertas de E-mail. Eu dei a esta ferramenta uma tentativa e que mostrou lockout da conta em tempo real mas teve problemas encontrar a fonte do lockout da conta.

PowerShell-Article by the TechNet scripting guy that explains how to use PowerShell to find users locked out location. O script está fazendo basicamente o que a ferramenta lockoutstatus está fazendo., Se você está em PowerShell este poderia ser um script muito útil. Podes automatizar os passos que dei.

espero que este artigo o tenha ajudado a encontrar a fonte de bloqueio de contas no seu ambiente. Se você tiver alguma dúvida deixe um comentário abaixo.,

Veja também: Como Encontrar e remover obsoletos de usuário e contas de computador