sviluppo-web-qa.it

Scoprire perché un utente è bloccato in Active Directory

L'account di un utente viene bloccato in Active Directory. Probabilmente è causato da un'app che utilizza l'autenticazione di Windows per connettersi a SQL Server.

C'è un modo per scoprire quale app lo sta causando e perché l'app potrebbe causare tentativi di accesso non riusciti?

38
Tony_Henrich

Dai un'occhiata a Strumenti di gestione e blocco degli account disponibili nell'Area download Microsoft. In particolare LockoutStatus.exe ed EventCombMT.exe. Potresti non essere in grado di individuare esattamente da dove proviene il blocco, ma dovresti essere in grado di restringerlo un po 'per renderlo più facile da vedere.

Ecco un altro paio di articoli Technet che potrebbero aiutare:
Gestione e monitoraggio del blocco degli account
Strumenti di blocco account (descrizione degli strumenti nel download collegata sopra)
Utilizzo del Netlogon.dll selezionato per tenere traccia dei blocchi degli account
Abilitazione della registrazione debug per il servizio Accesso rete

58
squillman

Fondamentalmente hai bisogno delle seguenti informazioni

  1. Da quale account macchina viene bloccato
  2. Quale processo o attività su quella macchina è coinvolto nel blocco

Per prima cosa, una volta bloccato l'account, vai al controller di dominio primario del tuo dominio e cerca ID evento 644 in registro di sicurezza , che fornirà il nome del nome della macchina del chiamante. Annotare il nome della macchina e l'ora in cui è stato generato l'evento.

Per trovare il processo o l'attività, vai alla macchina identificata nell'ID evento sopra e apri il registro di sicurezza e cerca l'ID evento 529 con i dettagli per bloccare l'account. In tal caso è possibile trovare il tipo di accesso che dovrebbe indicare come l'account sta tentando di autenticarsi.

Dettagli evento 529

Dettagli evento 644

6
KAPes

Lavoro sul service desk da circa 4 anni, se nessuna delle soluzioni precedenti risolve i problemi di blocco, prova a posizionare l'utente interessato in una sezione "Criteri di gruppo non applicati" di AD (per abilitare l'accesso al pannello di controllo dal suo account) e quindi farli accedere e andare al pannello di controllo, cercare Credenziali e quindi fare clic su "Credenziali". Ciò che verrà fuori saranno tutte le credenziali dei computer archiviate (di solito ce n'è una che non è aggiornata, cioè errata), rimuovere tutte le enterie dal "vault" e questo dovrebbe risolvere il problema senza ulteriori problemi. L'unico effetto collaterale di ciò è che l'utente dovrà reinserire le proprie credenziali una volta che utilizzerà l'applicazione. Spero che questo aiuti alcune persone là fuori

3
Jonathan

Ho avuto uno studente in una classe PowerShell fare una domanda simile. Aveva bisogno di sapere come individuare il client su cui venivano bloccati gli account. Abbiamo trovato la risposta usando una combinazione di auditing e PowerShell. Di seguito è riportato un collegamento alle istruzioni e al codice.

http://mctexpert.blogspot.com/2012/08/where-did-users-account-get-locked-out.html

2
Jason A Yoder

Questo argomento è troppo vecchio, ma volevo solo condividere uno strumento utile se qualcuno ha lo stesso problema in questo thread.

Il Locker Fixer è uno strumento gratuito che consente di determinare rapidamente da dove provengono le credenziali non valide. È possibile scaricare il Fixer di blocco

Una volta che hai scoperto la workstation di origine utilizzando lo strumento sopra, trovare quale applicazione sta causando il problema dovrebbe essere poco facile ...

Inoltre, controlla i servizi, le attività pianificate, le password di rete salvate, le password del browser, le unità di rete mappate ecc ...

0
user46928