Localizando porque um usuário está bloqueado no Active Directory

Navegue suas respostas
37

A conta de um usuário continua sendo bloqueada no Active Directory. Provavelmente é causado por um aplicativo que está usando a autenticação do Windows para se conectar ao SQL Server.

Existe uma maneira de descobrir qual aplicativo está causando isso e por que o aplicativo pode estar causando tentativas de login com falha?

    
por Tony_Henrich 14.09.2009 / 19:59

5 respostas

57

Dê uma olhada na conta Ferramentas de Bloqueio e Gerenciamento disponíveis no Centro de Download da Microsoft. Especificamente LockoutStatus.exe e EventCombMT.exe. Você pode não ser capaz de identificar exatamente onde o bloqueio está vindo, mas você deve ser capaz de reduzi-lo um pouco para facilitar a visualização.

Aqui estão mais alguns artigos da Technet que podem ajudar: Manutenção e monitoramento do bloqueio de conta
Ferramentas de bloqueio de conta (descrição das ferramentas no download linkado acima) Usando o Netlogon.dll marcado para rastrear bloqueios de conta
Ativando o log de depuração para o serviço Netlogon

    
por 14.09.2009 / 20:08
6

Basicamente, você precisa das seguintes informações

  1. De qual conta de máquina está sendo bloqueada
  2. Qual processo ou atividade nessa máquina está envolvido no bloqueio

Para encontrar primeiro, quando a conta estiver bloqueada, vá para o controlador de domínio primário do seu domínio e procure por 644 no log de segurança , que fornecerá o nome do nome da máquina chamadora. Anote o nome da máquina e a hora em que o evento foi gerado.

Para encontrar processo ou atividade, vá para a máquina identificada no ID de evento acima e abra o log de segurança e procure a ID do evento 529 com detalhes para a conta ser bloqueada. Nesse caso, você pode encontrar o tipo de logon que deve informar como a conta está tentando autenticar.

Detalhes do evento 529

Detalhes do evento 644

    
por 15.09.2009 / 23:27
2

Eu pedi a um aluno em uma turma do PowerShell uma pergunta semelhante. Ele precisava saber como localizar o cliente onde as contas estavam sendo bloqueadas. Encontramos a resposta usando uma combinação de auditoria e PowerShell. Abaixo está um link para as instruções e código.

link

    
por 14.09.2012 / 14:30
2

Estou trabalhando na central de atendimento há cerca de quatro anos. Se nenhum dos problemas acima resolver problemas de bloqueio, tente colocar o usuário afetado em uma seção "política de grupo não aplicada" do AD (para permitir o acesso ao painel de controle sua conta) e, em seguida, levá-los a fazer o login e vá para o painel de controle, procure por Credenciais e clique em "Credenciais". O que vai aparecer são todos os computadores armazenados credenciais (geralmente há um que está desatualizado, ou seja, incorreto), remova todos os enteries do "cofre" e que deve resolver o problema sem mais problemas. O único efeito colateral disso é que o usuário precisará redigitar suas credenciais uma vez na próxima vez em que usar o aplicativo. Espero que ajude algumas das pessoas lá fora

    
por 18.06.2015 / 06:58
0

Este tópico é muito antigo, mas eu só queria compartilhar uma ferramenta útil se qualquer um tiver o mesmo problema para ler este tópico no futuro.

O fixador de bloqueio é uma ferramenta gratuita que permite determinar rapidamente de onde as credenciais inválidas estão chegando. É possível fazer o download do fixador de bloqueio

Depois de descobrir a estação de trabalho de origem usando a ferramenta acima, encontrar o aplicativo que está causando o problema deve ser um pouco fácil ...

Além disso, verifique os serviços, as tarefas agendadas, as senhas de rede salvas, as senhas do navegador, as unidades de rede mapeadas, etc ...

    
por 27.06.2010 / 13:43
Qual é o primeiro dígito para a notação de permissão do arquivo octal Unix de 4 dígitos? Erro de RDP “A função solicitada não é suportada” depois de ativar o NLA