I blocchi degli account sono un problema comune riscontrato dagli utenti di Active Directory. Si verificano a causa dei criteri di blocco dell’account configurati nel criterio di dominio predefinito per il dominio Active Directory. In questo articolo, esamineremo alcune delle cause principali dei blocchi dell’account e il modo per semplificare il processo di risoluzione dei problemi.
Cause comuni di blocco dell’account
1., Unità mappate che utilizzano vecchie credenziali:
Le unità mappate possono essere configurate per utilizzare le credenziali specificate dall’utente per connettersi a una risorsa condivisa. Successivamente, l’utente può modificare la password senza aggiornare le credenziali nell’unità mappata. Le credenziali possono anche scadere, il che porterà a blocchi dell’account.
2. Sistemi che utilizzano vecchie credenziali memorizzate nella cache:
Alcuni utenti devono lavorare su più computer. Di conseguenza, un utente può essere connesso a più di un computer contemporaneamente., Questi altri computer possono avere applicazioni che utilizzano vecchie credenziali memorizzate nella cache che possono causare account bloccati.
3. Applicazioni che utilizzano vecchie credenziali:
Sul sistema dell’utente, potrebbero esserci diverse applicazioni che memorizzano nella cache le credenziali degli utenti o le definiscono esplicitamente nella loro configurazione. Se le credenziali dell’utente sono scadute e non vengono aggiornate nelle applicazioni, l’account verrà bloccato.
4. Servizi Windows che utilizzano credenziali scadute:
I servizi Windows possono essere configurati per utilizzare account specificati dall’utente. Questi sono noti come account di servizio., Le credenziali per questi account specificati dall’utente potrebbero scadere e i servizi di Windows continueranno a utilizzare le vecchie credenziali scadute; con conseguente blocco dell’account.
5. Attività pianificate:
L’utilità di pianificazione di Windows richiede le credenziali per eseguire un’attività indipendentemente dal fatto che l’utente abbia effettuato l’accesso o meno. È possibile creare diverse attività con credenziali specificate dall’utente che possono essere credenziali di dominio. Queste credenziali specificate dall’utente potrebbero scadere e le attività di Windows continueranno a utilizzare le vecchie credenziali.,
I seguenti attributi di Active Directory determinano il numero di tentativi di modifica delle password che un utente può effettuare in un determinato periodo di tempo:
maxPwdAge, lockoutThreshold, lockoutObservationWindow e lockoutDuration.
Se la password è impostata su non scadere mai o il blocco dell’account è configurato come “non scadere”, il blocco non si verificherà.
Come risolvere i blocchi degli account
I registri di sicurezza di Windows fanno molta strada per risolvere i blocchi degli account, tuttavia l’estrazione delle informazioni di blocco degli account dai registri di sicurezza di Windows non è sempre un processo affidabile., Le informazioni di blocco dell’account possono essere recuperate dall’emulatore PDC DC in quanto è responsabile dell’elaborazione dei blocchi. Ma l’emulatore PDC elabora anche molti altri eventi per l’intero dominio; inclusi errori di autenticazione e modifiche della password. In ambienti di grandi dimensioni in cui ci sono molti utenti, questi log degli eventi verranno raccolti sull’emulatore PDC e un grande volume di log verrà raccolto. In base al limite di dimensione dei registri eventi, è possibile che i vecchi registri siano stati eliminati e che gli unici registri disponibili siano quelli delle ultime ore.,
Per semplificare il processo di determinazione dello stato di blocco dell’account, Microsoft offre lo stato di blocco dell’account (LockoutStatus.exe) strumento che è una miscela di riga di comando e strumenti grafici. Con questo strumento, ogni DC nel dominio dell’account utente di destinazione che può essere contattato viene cercato.
Per scaricare ed eseguire lo strumento, seguire i comandi indicati di seguito:
1. Eseguire il file di installazione per installare lo strumento
2. Vai alla directory di installazione ed esegui il ‘ LockoutStatus.exe ‘ per avviare lo strumento
3., Vai a ‘File > Seleziona Target Target’ per trovare i dettagli per l’account bloccato
Figura 1: Strumento stato blocco account
4. Passare attraverso i dettagli presentati sullo schermo. Il DC con il gran numero di password errate stava probabilmente autenticando DC al momento del blocco.
5. Vai al DC interessato e rivedere il registro eventi di sicurezza di Windows. Per Windows Server 2008, l’ID evento è 4740 e per Windows Server 2000 e 2003 l’ID evento è 644. Anche il comando di Windows PowerShell fornito in precedenza in questo articolo può essere utilizzato., Nei dettagli dell’evento troverai il ‘Nome macchina chiamante’ in cui si è verificato il tentativo di autenticazione non riuscito.
Come Lepide aiuta
Se si verifica un numero elevato di blocchi di account in un ambiente sicuro, ciò indicherebbe uno squilibrio tra sicurezza e convenienza. Ogni organizzazione deve determinare un compromesso appropriato tra sicurezza e convenienza. Per fare ciò, dovranno considerare la sensibilità delle informazioni nelle loro impostazioni, i rischi che possono sopportare e gli interessi dei loro utenti.,
Le soluzioni di terze parti, come Lepide Active Directory Auditor, possono aiutare a individuare la causa principale dei blocchi degli account più velocemente e risolverli facilmente.
Lascia un commento