Sprawdzanie, dlaczego użytkownik jest zablokowany w usłudze Active Directory

Konto użytkownika jest ciągle blokowane w usłudze Active Directory. Prawdopodobnie jest to spowodowane aplikacją korzystającą z uwierzytelniania systemu Windows do łączenia się z programem SQL Server.

Czy istnieje sposób, aby dowiedzieć się, która aplikacja go powoduje i dlaczego aplikacja może powodować nieudane próby logowania?

Zapoznaj się z narzędziami do blokowania kont i zarządzania dostępnymi w Centrum pobierania Microsoft. W szczególności LockoutStatus.exe i EventCombMT.exe. Być może nie będziesz w stanie dokładnie określić, skąd pochodzi blokada, ale powinieneś być w stanie nieco ją zawęzić, aby łatwiej było ją zobaczyć.

Oto kilka innych artykułów Technet, które mogą pomóc:
Utrzymanie i monitorowanie blokady
konta Narzędzia blokady konta (opis narzędzi w pliku do pobrania powyżej)
Używanie sprawdzonego Netlogon.dll do śledzenia blokad kont
Włączanie rejestrowania debugowania dla usługi Net Logon

Zasadniczo potrzebujesz następujących informacji

1. Z którego konta komputera jest blokowane
2. Jaki proces lub aktywność na tym komputerze bierze udział w blokowaniu

Aby znaleźć pierwsze, gdy konto zostanie zablokowane, przejdź do podstawowego kontrolera domeny i wyszukaj identyfikator zdarzenia 644 w dzienniku zabezpieczeń , który poda nazwę maszyny wywołującej. Zanotuj nazwę komputera i godzinę wygenerowania zdarzenia.

Aby znaleźć proces lub działanie, przejdź do komputera zidentyfikowanego w powyższym identyfikatorze zdarzenia i otwórz dziennik bezpieczeństwa i wyszukaj identyfikator zdarzenia 529 ze szczegółami dotyczącymi zablokowania konta. W takim przypadku możesz znaleźć typ logowania, który powinien powiedzieć, w jaki sposób konto próbuje się uwierzytelnić.

Szczegóły zdarzenia 529

Szczegóły wydarzenia 644

Pracuję w dziale obsługi od około 4 lat, jeśli żadne z powyższych problemów nie rozwiązało problemu z blokadą, spróbuj umieścić dotkniętego użytkownika w sekcji „Nie zastosowano zasad grupy” AD (aby umożliwić dostęp do panelu sterowania z jego konta) a następnie poproś ich o zalogowanie się i przejdź do panelu sterowania, wyszukaj Poświadczenia, a następnie kliknij „Poświadczenia”. Pojawią się wszystkie poświadczenia przechowywane na komputerach (zwykle jeden jest nieaktualny, tj. Niepoprawny), usuń wszystkie firmy z „przechowalni” i to powinno rozwiązać problem bez dalszych problemów. Jedynym skutkiem ubocznym jest to, że użytkownik będzie musiał ponownie wprowadzić swoje poświadczenia przy następnym użyciu aplikacji. Mam nadzieję, że pomaga niektórym ludziom

Miałem ucznia w klasie PowerShell, który zadał podobne pytanie. Musiał wiedzieć, jak zlokalizować klienta, na którym blokowano konta. Znaleźliśmy odpowiedź za pomocą kombinacji audytu i PowerShell. Poniżej znajduje się link do instrukcji i kodu.

http://mctexpert.blogspot.com/2012/08/where-did-users-account-get-locked-out.html

Ten temat jest za stary, ale chciałem udostępnić pomocne narzędzie, jeśli ktoś ma ten sam problem z czytaniem tego wątku w przyszłości ..

Narzędzie do blokowania to bezpłatne narzędzie, które pozwala szybko ustalić, skąd pochodzą nieprawidłowe dane uwierzytelniające. Możesz pobrać narzędzie do blokowania

Po znalezieniu źródłowej stacji roboczej za pomocą powyższego narzędzia ustalenie, która aplikacja jest przyczyną problemu, nie powinno być łatwe ...

Sprawdź także usługi, zaplanowane zadania, zapisane hasła sieciowe, hasła przeglądarki, zmapowane dyski sieciowe itp.