blocajele contului sunt o problemă comună cu care se confruntă utilizatorii Active Directory. Acestea apar din cauza politicilor de blocare a contului configurate în Politica de domeniu implicită pentru domeniul Active Directory. În acest articol, vom parcurge câteva dintre cauzele principale ale blocărilor contului și modul de simplificare a procesului de depanare.
cauze comune ale blocărilor de cont
1., Unități mapate folosind acreditări vechi:
unitățile mapate pot fi configurate să utilizeze acreditările specificate de utilizator pentru a se conecta la o resursă partajată. Ulterior, utilizatorul poate schimba parola fără a actualiza acreditările din unitatea mapată. Acreditările pot expira, ceea ce va duce la blocarea contului.
2. Sisteme care utilizează acreditări vechi din cache: unii utilizatori trebuie să lucreze pe mai multe computere. Drept urmare, un utilizator poate fi conectat la mai multe computere simultan., Aceste alte computere pot avea aplicații care utilizează acreditări vechi, în cache, care pot duce la conturi blocate.
3. Aplicații care utilizează acreditări vechi:
în sistemul utilizatorului, pot exista mai multe aplicații care fie memorează în cache acreditările utilizatorilor, fie le definesc Explicit în configurația lor. Dacă acreditările utilizatorului au expirat și nu sunt actualizate în aplicații, contul va fi blocat.
4. Serviciile Windows folosind acreditări expirate:
serviciile Windows pot fi configurate pentru a utiliza conturi specificate de utilizator. Acestea sunt cunoscute sub numele de conturi de servicii., Acreditările pentru aceste conturi specificate de utilizator pot expira, iar serviciile Windows vor continua să utilizeze acreditările vechi, expirate; ceea ce duce la blocarea contului.
5. Sarcini programate:
Windows task scheduler necesită acreditări pentru a rula o sarcină, indiferent dacă utilizatorul este conectat sau nu. Diferite sarcini pot fi create cu acreditările specificate de utilizator, care pot fi acreditări de domeniu. Aceste acreditări specificate de utilizator pot expira și sarcinile Windows vor continua să utilizeze acreditările vechi.,
următoarele Active Directory atribute determina cât de multe parole schimba încercări, un utilizator poate face într-o anumită perioadă de timp:
maxPwdAge, lockoutThreshold, lockoutObservationWindow, și lockoutDuration.
dacă parola este setată să nu expire niciodată sau blocarea contului este configurată ca „să nu expire”, blocarea nu se va întâmpla.
cum se rezolvă blocările de cont
jurnalele de securitate Windows merg mult până la rezolvarea blocărilor de cont, cu toate acestea extragerea informațiilor de blocare a contului din jurnalele de securitate Windows nu este întotdeauna un proces fiabil., Informațiile despre blocarea contului pot fi preluate din emulatorul PDC DC, deoarece este responsabil pentru procesarea blocărilor. Dar, emulatorul PDC procesează, de asemenea, o mulțime de alte evenimente pentru întregul domeniu; inclusiv eșecuri de autentificare și modificări ale parolei. În medii mari, unde există o mulțime de utilizatori, aceste jurnale de evenimente vor fi colectate pe emulatorul PDC și se va colecta un volum mare de jurnale. Sub rezerva limitei de dimensiune a jurnalelor de evenimente, este posibil să constatați că jurnalele vechi au fost curățate, iar singurele jurnale disponibile sunt cele din ultimele ore.,pentru a simplifica procesul de determinare a stării de blocare a contului, Microsoft oferă starea de blocare a contului (LockoutStatus.exe) instrument care este un amestec de linie de comandă și instrumente grafice. Cu acest instrument, fiecare DC din domeniul contului de utilizator țintă care poate fi contactat este căutat.pentru a descărca și rula instrumentul, urmați comenzile date mai jos:
1. Rulați fișierul de instalare pentru a instala instrumentul
2. Du-te la directorul de instalare și executați ” LockoutStatus.exe ‘ pentru a lansa instrumentul
3., Du-te la ‘Fișier > Selectați Țintă…’ pentru a afla detalii de cont blocat
Figura 1: Blocare Cont Statutul de Instrument
4. Du-te prin detaliile prezentate pe ecran. DC cu numărul mare de parole proaste a fost probabil autentificarea DC în momentul blocării.
5. Accesați DC-ul în cauză și examinați Jurnalul de evenimente de securitate Windows. Pentru Windows Server 2008, ID-ul evenimentului este 4740, iar Pentru Windows Server 2000 și 2003 ID-ul evenimentului este 644. Comanda Windows PowerShell furnizată mai devreme în acest articol poate fi utilizată., În detaliile evenimentului veți găsi „numele mașinii apelantului” unde a avut loc încercarea de autentificare eșuată.
Cum Lepide Ajută
Dacă vă confruntați cu un număr mare de cont lock-out într-un mediu sigur ar indica un dezechilibru între securitate și confort. Fiecare organizație trebuie să stabilească un compromis adecvat între securitate și comoditate. Pentru a face acest lucru, va trebui să ia în considerare sensibilitatea informațiilor din setările lor, riscurile pe care le pot suporta și interesele utilizatorilor lor.,soluțiile terțe, cum ar fi Lepide Active Directory Auditor, vă pot ajuta să navigați mai rapid la cauza principală a blocărilor contului și să le remediați cu ușurință.
Lasă un răspuns