Sprawdzanie, dlaczego użytkownik jest zablokowany w usłudze Active Directory

38

Konto użytkownika jest ciągle blokowane w usłudze Active Directory. Prawdopodobnie jest to spowodowane aplikacją korzystającą z uwierzytelniania systemu Windows do łączenia się z programem SQL Server.

Czy istnieje sposób, aby dowiedzieć się, która aplikacja go powoduje i dlaczego aplikacja może powodować nieudane próby logowania?

Tony_Henrich
źródło

Odpowiedzi:

58

Zapoznaj się z narzędziami do blokowania kont i zarządzania dostępnymi w Centrum pobierania Microsoft. W szczególności LockoutStatus.exe i EventCombMT.exe. Być może nie będziesz w stanie dokładnie określić, skąd pochodzi blokada, ale powinieneś być w stanie nieco ją zawęzić, aby łatwiej było ją zobaczyć.

Oto kilka innych artykułów Technet, które mogą pomóc:
Utrzymanie i monitorowanie blokady
konta Narzędzia blokady konta (opis narzędzi w pliku do pobrania powyżej)
Używanie sprawdzonego Netlogon.dll do śledzenia blokad kont
Włączanie rejestrowania debugowania dla usługi Net Logon

squillman
źródło
To świetny post i zbiór informacji o zasobach. Chciałbym móc cię jeszcze
głosować
Na zdrowie, cieszę się, że to pomaga :)
squillman
Warto zauważyć, że linki te działają tylko dla serwerów 2k3.
BetaRide
3
Czy istnieją jakieś podobne narzędzia do Server 2012 R2?
Chris Powell,
Ta odpowiedź jest nieaktualna i nie działa już w systemie Windows 2008 lub nowszym. Szukam również rozwiązania w 2012 r.
Ricardo C
6

Zasadniczo potrzebujesz następujących informacji

  1. Z którego konta komputera jest blokowane
  2. Jaki proces lub aktywność na tym komputerze bierze udział w blokowaniu

Aby znaleźć pierwsze, gdy konto zostanie zablokowane, przejdź do podstawowego kontrolera domeny i wyszukaj identyfikator zdarzenia 644 w dzienniku zabezpieczeń , który poda nazwę maszyny wywołującej. Zanotuj nazwę komputera i godzinę wygenerowania zdarzenia.

Aby znaleźć proces lub działanie, przejdź do komputera zidentyfikowanego w powyższym identyfikatorze zdarzenia i otwórz dziennik bezpieczeństwa i wyszukaj identyfikator zdarzenia 529 ze szczegółami dotyczącymi zablokowania konta. W takim przypadku możesz znaleźć typ logowania, który powinien powiedzieć, w jaki sposób konto próbuje się uwierzytelnić.

Szczegóły zdarzenia 529

Szczegóły wydarzenia 644

KAPes
źródło
3

Pracuję w dziale obsługi od około 4 lat, jeśli żadne z powyższych problemów nie rozwiązało problemu z blokadą, spróbuj umieścić dotkniętego użytkownika w sekcji „Nie zastosowano zasad grupy” AD (aby umożliwić dostęp do panelu sterowania z jego konta) a następnie poproś ich o zalogowanie się i przejdź do panelu sterowania, wyszukaj Poświadczenia, a następnie kliknij „Poświadczenia”. Pojawią się wszystkie poświadczenia przechowywane na komputerach (zwykle jeden jest nieaktualny, tj. Niepoprawny), usuń wszystkie firmy z „przechowalni” i to powinno rozwiązać problem bez dalszych problemów. Jedynym skutkiem ubocznym jest to, że użytkownik będzie musiał ponownie wprowadzić swoje poświadczenia przy następnym użyciu aplikacji. Mam nadzieję, że pomaga niektórym ludziom

Jonathan
źródło
1
Powinien również umożliwiać przeglądanie przechowywanych poświadczeń i zobaczenie, która aplikacja jest przyczyną;) (zazwyczaj jest to oprogramowanie Adobe / Google / Apple Updater lub rzadki dodatek LYNC w perspektywie), znaleziono tylko inną przyczynę, że ludzie wkładają nieprawidłowe dane do swojej pracy telefony (na e-maile), które mogą również powodować blokadę
Jonathan
Do którego „panelu sterowania” chodzi?
Douglas odbył się
2

Miałem ucznia w klasie PowerShell, który zadał podobne pytanie. Musiał wiedzieć, jak zlokalizować klienta, na którym blokowano konta. Znaleźliśmy odpowiedź za pomocą kombinacji audytu i PowerShell. Poniżej znajduje się link do instrukcji i kodu.

http://mctexpert.blogspot.com/2012/08/where-did-users-account-get-locked-out.html

Jason A Yoder
źródło
3
Chociaż teoretycznie może to odpowiedzieć na pytanie, lepiej byłoby zawrzeć tutaj istotne części odpowiedzi i podać odnośnik.
Scott Pack
0

Ten temat jest za stary, ale chciałem udostępnić pomocne narzędzie, jeśli ktoś ma ten sam problem z czytaniem tego wątku w przyszłości ..

Narzędzie do blokowania to bezpłatne narzędzie, które pozwala szybko ustalić, skąd pochodzą nieprawidłowe dane uwierzytelniające. Możesz pobrać narzędzie do blokowania

Po znalezieniu źródłowej stacji roboczej za pomocą powyższego narzędzia ustalenie, która aplikacja jest przyczyną problemu, nie powinno być łatwe ...

Sprawdź także usługi, zaplanowane zadania, zapisane hasła sieciowe, hasła przeglądarki, zmapowane dyski sieciowe itp.

Gabe
źródło