Konto lockout er et vanlig problem som oppleves av Active Directory-brukere. De oppstår på grunn av Konto Lockout Politikk konfigurert i standard domenepolicy for Active Directory-domene. I denne artikkelen vil vi gå gjennom noen av de grunnleggende årsakene til den konto lockout og måte å forenkle feilsøking prosessen.
Vanligste Årsakene til Konto Lockout
1., Tilordnede stasjoner ved hjelp av gamle legitimasjon:
Tilordnede stasjoner kan være konfigurert til å bruke bruker-spesifiserte legitimasjon for å koble til en delt ressurs. Etterpå, kan brukeren endre passordet uten å oppdatere påloggingsinformasjonen i den tilordnede stasjonen. Legitimasjon kan også utløpe, noe som vil føre til konto lockout.
2. Systemer som bruker gamle bufrede legitimasjonen:
Noen brukere er pålagt å arbeide på flere datamaskiner. Som et resultat, en bruker kan være logget på mer enn én datamaskin samtidig., Disse datamaskinene kan ha programmer som bruker gamle, bufres legitimasjonen som kan resultere i låst kontoer.
3. Programmer som bruker gamle legitimasjon:
På brukerens system, kan det være flere programmer som enten cache brukernes legitimasjon eller eksplisitt definere dem i deres konfigurasjon. Hvis legitimasjonen for brukeren er utløpt, og er ikke oppdatert i programmer, vil kontoen bli stengt.
4. Windows-Tjenester ved hjelp av utløpt legitimasjon:
Windows-tjenester kan konfigureres til å bruke bruker-spesifisert regnskap. Disse er kjent som service-kontoer., Legitimasjonen for disse bruker-spesifiserte kontoer kan utløpe og Windows-tjenester vil fortsette å bruke den gamle, utgåtte legitimasjon; fører til konto lockout.
5. Planlagte Oppgaver:
Windows task scheduler krever legitimasjon for å kjøre en oppgave om bruker er logget på eller ikke. Ulike oppgaver kan opprettes med bruker-spesifiserte legitimasjon som kan være domene legitimasjon. Disse bruker-spesifiserte legitimasjon kan utløpe og Windows oppgaver vil fortsette å bruke den gamle legitimasjon.,
følgende Active Directory-attributter avgjør hvor mange passord endre forsøk en bruker kan gjøre i en gitt periode:
maxPwdAge, lockoutThreshold, lockoutObservationWindow, og lockoutDuration.
Hvis passordet er satt til aldri å utløpe eller konto lockout er konfigurert som » ikke med å utløpe,’ den lockout vil ikke skje.
Hvordan å Løse Konto Lockout
Windows security logger gå en lang vei for å løse konto lockout, men å trekke konto lockout informasjon fra Windows Security Logger er ikke alltid en pålitelig prosess., Konto lockout informasjon kan hentes fra PDC-emulator DC som det er ansvarlig for behandling av lockout. Men, PDC-emulator også behandler en rekke andre arrangementer for hele domenet, inkludert godkjenning feil og passord endringer. I store miljøer der det masse av brukere i disse hendelseslogger vil bli samlet inn på PDC-emulator og et stort volum av tømmer vil samle inn. Med forbehold om størrelsesgrensen for hendelseslogger, kan du finne at gamle logger har blitt fjernet, og det eneste tilgjengelige loggene er de fra de siste par timene.,
for Å forenkle prosessen med å bestemme konto lockout status, tilbyr Microsoft Kontoen Lockout Status (LockoutStatus.exe) verktøy som er en blanding av kommando-linje og grafisk verktøy. Med dette verktøyet, hver DC i mål-bruker-kontoens domene som kan kontaktes er søkt for.
for Å laste ned og kjøre verktøyet, kan du følge de nedenfor gitt kommandoer:
1. Kjør installasjonsprogrammet-filen for å installere verktøyet
2. Gå til installasjon katalogen og kjøre ‘LockoutStatus.exe » for å starte verktøyet
3., Gå til » Fil > Velg Target… » for å finne detaljer for låst konto
Figur 1: Konto Lockout Status Verktøy
4. Gå gjennom detaljene som vises på skjermen. DC-med det store antallet dårlige passord count ble trolig godkjenning DC på den tiden av lockout.
5. Gå til berørte DC og gjennomgang Windows hendelsesloggen for sikkerhet. For Windows Server 2008, hendelses-ID-er 4740, og for Windows Server 2000 og 2003 hendelses-ID-er 644. Windows PowerShell kommando er gitt tidligere i denne artikkelen kan også brukes., I tilfelle detaljer du vil finne den «Ringer Maskinen Navnet» hvor mislykket godkjenning forsøk som skjedde.
Hvordan Lepide Bidrar
Hvis du opplever et høyt antall av konto lockout i et sikkert miljø, ville det indikere en ubalanse mellom sikkerhet og bekvemmelighet. Hver organisasjon har behov for å finne et passende kompromiss mellom sikkerhet og bekvemmelighet. For å gjøre dette, vil de trenger for å vurdere følsomheten av informasjon i sine innstillinger, hvilken risiko de kan bære, og deres brukeres interesser.,
Tredjeparts løsninger, slik som Lepide Active Directory Revisor, kan bidra til å navigere til roten årsaken til konto lockout raskere og fikse dem lett.
Legg igjen en kommentar