výluky účtu jsou běžným problémem uživatelů Active Directory. Vznikají kvůli zásadám blokování účtu nakonfigurovaným ve výchozí politice domény pro doménu Active Directory. V tomto článku projdeme některé z hlavních příčin výluk účtu a způsob, jak zjednodušit proces odstraňování problémů.
časté příčiny výluk účtu
1., Mapované jednotky pomocí starých pověření:
mapované jednotky lze nakonfigurovat tak, aby používaly pověření zadaná uživatelem pro připojení ke sdílenému zdroji. Poté může uživatel změnit heslo bez aktualizace pověření v mapované jednotce. Pověření mohou také vypršet, což povede k uzamčení účtu.
2. Systémy používající stará pověření v mezipaměti:
někteří uživatelé jsou povinni pracovat na více počítačích. Výsledkem je, že uživatel může být přihlášen k více než jednomu počítači současně., Tyto ostatní počítače mohou mít aplikace, které používají staré, cache pověření, které mohou mít za následek zamčené účty.
3. Aplikace používající stará pověření:
v systému uživatele může být několik aplikací, které buď cache pověření uživatelů nebo explicitně definovat v jejich konfiguraci. Pokud vypršela platnost pověření uživatele a nejsou v aplikacích aktualizovány, účet bude uzamčen.
4. Služby Windows pomocí vypršených pověření:
služby Windows lze nakonfigurovat tak, aby používaly účty zadané uživatelem. Ty jsou známé jako servisní účty., Pověření pro tyto účty zadané uživatelem mohou vypršet a služby Windows budou i nadále používat staré, vypršela pověření; což vede k uzamčení účtu.
5. Naplánované úkoly:
Plánovač úloh systému Windows vyžaduje pověření ke spuštění úlohy, zda je uživatel přihlášen nebo ne. Různé úkoly mohou být vytvořeny s uživatelem zadané pověření, které mohou být pověření domény. Tato pověření zadaná uživatelem mohou vypršet a úkoly systému Windows budou i nadále používat stará pověření.,
následující atributy služby Active Directory určete, kolik hesel změna pokusy uživatel může mít v daném období času:
maxPwdAge, lockoutThreshold, lockoutObservationWindow a lockoutDuration.
Pokud je heslo nastaveno tak, aby nikdy nevypršelo nebo je uzamčení účtu nakonfigurováno jako „nevyprší“, výluka se nestane.
jak vyřešit výluky účtu
protokoly zabezpečení systému Windows jdou dlouhou cestou k vyřešení výluk účtu, avšak extrahování informací o uzamčení účtu z protokolů zabezpečení systému Windows není vždy spolehlivým procesem., Informace o uzamčení účtu lze získat z emulátoru PDC DC, protože je zodpovědný za zpracování výluk. Emulátor PDC však také zpracovává mnoho dalších událostí pro celou doménu; včetně selhání autentizace a změn hesla. Ve velkých prostředích, kde je spousta uživatelů, budou tyto protokoly událostí shromažďovány na emulátoru PDC a shromáždí se velké množství protokolů. S výhradou omezení velikosti protokolu událostí, můžete zjistit, že staré záznamy byly vymazány a jediné dostupné protokoly jsou ty z posledních několika hodin.,
pro zjednodušení procesu určování stavu uzamčení účtu nabízí společnost Microsoft stav uzamčení účtu (LockoutStatus.exe) nástroj, který je kombinací příkazového řádku a grafických nástrojů. Pomocí tohoto nástroje je vyhledán každý DC v doméně cílového uživatelského účtu, který lze kontaktovat.
Chcete-li nástroj stáhnout a spustit, postupujte podle níže uvedených příkazů:
1. Spusťte instalační soubor a nainstalujte nástroj
2. Přejděte do instalačního adresáře a spusťte “ LockoutStatus.exe ‚ pro spuštění nástroje
3., Jdi na Soubor > Select Target… najít podrobnosti o zablokovaný účet
Obrázek 1: Uzamčení Účtu Stav Nástroj
4. Projděte si podrobnosti uvedené na obrazovce. DC s velkým počtem špatných hesel pravděpodobně ověřovala DC v době výluky.
5. Přejděte na příslušný DC a zkontrolujte protokol událostí zabezpečení systému Windows. Pro Windows Server 2008 je ID události 4740 a pro Windows Server 2000 a 2003 je ID události 644. Příkaz Windows PowerShell poskytnutý dříve v tomto článku lze také použít., V detailech události najdete „jméno volajícího stroje“, kde došlo k neúspěšnému pokusu o ověření.
jak Lepide pomáhá
Pokud máte v bezpečném prostředí vysoký počet výluk účtu, znamenalo by to nerovnováhu mezi bezpečností a pohodlím. Každá organizace musí určit vhodný kompromis mezi bezpečností a pohodlím. K tomu budou muset zvážit citlivost informací v jejich nastavení, rizika, která mohou nést, a zájmy svých uživatelů.,
řešení třetích stran, jako je například Lepide Active Directory Auditor, mohou pomoci rychleji přejít na hlavní příčinu výluk účtu a snadno je opravit.
Napsat komentář