Descobrindo por que um usuário está bloqueado no Active Directory


38

A conta de um usuário fica bloqueada no Active Directory. Provavelmente, é causado por um aplicativo que está usando a autenticação do Windows para se conectar ao SQL Server.

Existe uma maneira de descobrir qual aplicativo está causando isso e por que o aplicativo pode estar causando falhas nas tentativas de login?


Pode ajudá-lo, processo de investigação AD bloqueios de conta http://www.compuday.co.za/2012/11/13/active-directory-account-lockouts-investigated/

Respostas:


58

Veja as Ferramentas de bloqueio e gerenciamento de conta disponíveis no Centro de Download da Microsoft. Especificamente LockoutStatus.exe e EventCombMT.exe. Talvez você não consiga identificar exatamente de onde o bloqueio está vindo, mas poderá reduzi-lo um pouco para facilitar a visualização.

Aqui estão mais alguns artigos da Technet que podem ajudar:
Manutenção e monitoramento de bloqueio de
conta Ferramentas de bloqueio de conta (descrição das ferramentas no download vinculado acima)
Usando o Netlogon.dll verificado para rastrear bloqueios de conta
Habilitando o log de depuração para o serviço Net Logon


Esse é um ótimo post e conslidação de informações de recursos. Eu gostaria de poder upvote-lo mais ...
MikeJ

Cheers, feliz que ajuda :)
squillman

Vale ressaltar que esses links funcionam apenas para servidores 2k3.
BetaRide 16/05

3
Existem ferramentas semelhantes para o Server 2012 R2?
Chris Powell

Esta resposta é obsoleta e não funciona mais no Windows 2008 ou mais recente. Eu também ma procurando uma solução em 2012.
Ricardo C

6

Basicamente, você precisa das seguintes informações

  1. De qual conta de máquina está sendo bloqueada
  2. Que processo ou atividade nessa máquina está envolvido no bloqueio

Para descobrir primeiro, quando a conta estiver bloqueada, vá para o controlador de domínio primário do seu domínio e procure a identificação de evento 644 no log de segurança , que fornecerá o nome do nome da máquina do chamador. Anote o nome da máquina e a hora em que o evento foi gerado.

Para localizar processo ou atividade, vá para a máquina identificada na identificação do evento acima e abra o log de segurança e procure a identificação do evento 529 com detalhes da conta sendo bloqueada. Nesse caso, você pode encontrar o tipo de logon que deve informar como a conta está tentando se autenticar.

Detalhes do evento 529

Detalhes do evento 644


3

Estou trabalhando no service desk há cerca de 4 anos, se nenhuma das opções acima resolver seus problemas de bloqueio, tente colocar o usuário afetado em uma seção "política de grupo não aplicada" do AD (para permitir o acesso do painel de controle a partir da conta deles) e faça com que eles façam login e vá para o painel de controle, procure por Credenciais e clique em "Credenciais". O que surgirá são todas as credenciais armazenadas nos computadores (geralmente há uma que está desatualizada, ou seja, incorreta), remova todas as empresas do "cofre" e isso deve resolver o problema sem problemas adicionais. O único efeito colateral disso é que o usuário precisará reinserir suas credenciais uma vez na próxima vez que usar o aplicativo. Espero que ajude algumas pessoas por aí


1
Também deve permitir que você visualize as credenciais armazenadas e veja exatamente qual aplicativo está causando isso;) (normalmente o software Adobe / Google / Apple Updater ou o raro complemento LYNC no Outlook), apenas outra causa encontrada foi a de pessoas colocando detalhes incorretos em seu trabalho telefones (para e-mails) que também podem causar o bloqueio
Jonathan

A que "painel de controle" você está se referindo?
Douglas Held

2

Um aluno de uma turma do PowerShell fez uma pergunta semelhante. Ele precisava saber como localizar o cliente onde as contas estavam sendo bloqueadas. Encontramos a resposta usando uma combinação de auditoria e PowerShell. Abaixo está um link para as instruções e o código.

http://mctexpert.blogspot.com/2012/08/where-did-users-account-get-locked-out.html


3
Embora isso possa teoricamente responder à pergunta, seria preferível incluir aqui as partes essenciais da resposta e fornecer o link para referência.
Scott Pack

0

Este tópico é muito antigo, mas eu só queria compartilhar uma ferramenta útil, se alguém tiver o mesmo problema, ler este tópico no futuro.

O Lockout fixer é uma ferramenta gratuita que permite determinar rapidamente de onde as credenciais inválidas estão chegando. Você pode fazer o download do lockout fixer

Depois de descobrir a estação de trabalho de origem usando a ferramenta acima, descobrir qual aplicativo está causando o problema deve ser um pouco fácil ...

Além disso, verifique os serviços, tarefas agendadas, senhas de rede salvas, senhas de navegador, unidades de rede mapeadas etc.

Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.