Conta de usuário frequentemente bloqueada

Question

Conta de usuário frequentemente bloqueada

#1 resposta do (5 votos)
#2 resposta do (2 votos)
#3 resposta do (0 votos)

5

Estamos executando em um ambiente Windows 2008 / Windows 7.

Um dos meus usuários está sendo bloqueado de sua conta do Active Directory diariamente. Isso ocorre entre 10 e 18 horas após cada reinicialização.

Isso começou na semana passada.

Posso ver que o motivo do bloqueio é um número com falha de tentativas de senha. No entanto, o usuário não está falhando em nenhuma tentativa quando desbloqueia seu sistema.

Portanto, estou pensando que deve haver um serviço, ou algum aplicativo, que tenha guardado suas credenciais (possivelmente antigo?) e esteja tentando acessar a rede de alguma forma, desencadeando o evento de bloqueio.

Existe alguma ferramenta que eu possa usar para me dizer de que computador esses logins com falha estão vindo? Há algo que você possa recomendar para solucionar esse problema? Tornou-se muito frustrante.

Obrigado!

active-directory user-accounts windows-server-2008-r2

por Richard West 21.11.2012 / 14:05

3 respostas

Tags active-directory user-accounts windows-server-2008-r2

Como usar o hdparm para consertar um setor pendente? Faça o Apache ou o IIS adicionar um cabeçalho se uma determinada cadeia de consulta estiver presente

score 5 · Answer 1

Em vez de mergulhar em log (como sugerido pela outra resposta até agora), eu prefira usar as Ferramentas de bloqueio de conta da Microsoft .

No mínimo, é imensamente útil mostrar-me em qual Controlador de Domínio você deve mergulhar.

(E sim, funciona no Server 2008 R2, embora tenha sido originalmente desenvolvido para 2000 e 2003).

score 2 · Answer 2

No servidor do Active Directory, os usuários que usam para fazer logon com você encontrarão uma entrada no log de eventos de segurança.

O ID do Evento pode ser 4771 (Serviço de Autenticação do Kerberos)

Pode parecer semelhante à seguinte entrada:

Kerberos pre-authentication failed.

Account Information:
Security ID:        DOMAIN/USERACCOUNT
Account Name:       USERACCOUNT

Service Information:
Service Name:       krbtgt/DOMAIN

Network Information:
Client Address:     ::ffff: **172.17.xx.xx**
Client Port:        59596

Additional Information:
Ticket Options:     0x40810010
Failure Code:       0x18
Pre-Authentication Type:    2


Certificate Information:
Certificate Issuer Name:        
Certificate Serial Number:  
Certificate Thumbprint:     


Certificate information is only provided if a certificate was used for pre-authentication.

Pre-authentication types, ticket options and failure codes are defined in RFC 4120.

If the ticket was malformed or damaged during transit and could not be decrypted, then many fields in this event might not be present.

A linha Endereço do Cliente informará de qual cliente / servidor a tentativa de logon veio. (neste exemplo 172.17.xx.xx)

score 0 · Answer 3

Isso geralmente é um mapeamento de unidade de rede persistente usando uma senha antiga (talvez da estação de trabalho de outro usuário).