v tomto článku vám ukážeme, jak sledovat události blokování uživatelských účtů na řadičích domény Active Directory, určit, ze kterého počítače a programu je účet neustále uzamčen. Chcete-li najít zdroj uzamčení účtu, můžete použít protokol zabezpečení systému Windows, skripty PowerShell nebo nástroj pro uzamčení a správu účtu MSFT (Lockoutstatus.,exe)
odkazovaný účet je nyní uzamčen a může být přihlášeni
doména účtu bezpečnostní politiky ve většině organizací vyžaduje povinné uživatelský účet služby Active Directory výluka je-li špatné heslo bylo zadáno několik krát v řadě. Obvykle je účet uzamčen řadičem domény na několik minut (5-30), během kterého se uživatel nemůže přihlásit k reklamní doméně. Po nějaké době (nastavené zásadami zabezpečení domény) se uživatelský účet automaticky odemkne., Dočasné blokování reklamního účtu snižuje riziko útoků hrubou silou na uživatelské účty reklamy.
Pokud je uživatelský účet v doméně uzamčen, při pokusu o přihlášení do systému Windows se objeví varování:
jak zkontrolovat, zda je uživatelský účet uzamčen?,
můžete Si ověřit, že účet je uzamčen v ADUC grafické konzole, nebo pomocí Get-ADUser rutiny ze služby Active Directory module for PowerShell:
Get-ADUser -Identity jsmith -Properties LockedOut,DisplayName | Select-Object samaccountName, displayName,Lockedout
účet je nyní uzamčen a nemůže být použit pro ověřování v doméně (Lockedout = True).,
Si můžete vypsat všechny aktuálně zamčené účty v doméně pomocí Vyhledávání-ADAccount rutiny:
Search-ADAccount -lockedout
můžete odemknout účet ručně pomocí ADUC konzole a aniž by čekal, až se odemkne automaticky. Najděte uživatelský účet, klikněte pravým tlačítkem myši a vyberte Vlastnosti. Přejděte na kartu Účet a zaškrtněte políčko odemknout účet. Tento účet je v současné době uzamčen v tomto řadiči domény Active Directory. Klikněte na OK.,v>
můžete také okamžitě odemknout svůj účet pomocí následujícího příkazu PowerShell:
Get-ADUser -Identity jsmith | Unlock-ADAccount
můžete zkontrolovat uzamčení účtu čas, počet neúspěšných pokusech o zadání hesla, čas poslední úspěšné přihlášení v úvahu vlastnosti v konzole ADUC (Editor Atributů na kartě), nebo pomocí PowerShell:
Uzamčení Účtu Politiky v Active Directory domain
uzamčení účtu politiky jsou obvykle nastavit ve Výchozí zásady Domény pro celou doménu pomocí gpmc.,MSc snap-in. Nezbytné politiky lze nalézt v Konfigurace Počítače -> Nastavení systému Windows -> Nastavení Zabezpečení -> Účet Politiky -> Uzamčení Účtu Politiky., Jsou to následující zásady:
- prahová hodnota uzamčení Účtu je počet pokusů o zadání špatné heslo do účtu je uzamčen;
- trvání uzamčení Účtu za jak dlouho bude účet být uzamčené (po uplynutí této doby bude zámek odstraněn automaticky);
- Vynulovat čítač uzamčení účtu po je čas, aby resetovat počítadlo neúspěšné autorizaci pokusů.,
případy, kdy uživatel zapomene heslo a způsobí uzamčení účtu, se vyskytují poměrně často. Pokud uživatel nedávno změnil heslo a zapomněl jej, můžete jej resetovat. V některých případech však výluka účtu probíhá bez zjevného důvodu. Tj. uživatel prohlašuje, že při zadávání hesla nikdy neudělal chybu, ale jeho účet byl z nějakého důvodu uzamčen. Správce může účet odemknout ručně na žádost uživatele, ale po chvíli se situace může opakovat.,
aby se vyřešil problém uživatele, musí správce zjistit, ze kterého počítače a programu byl uživatelský účet v Active Directory uzamčen.
Přihlášení Zásady Auditu pro Řadiče Domény
povolit události uzamčení účtu v řadiči domény, protokoly, musíte povolit následující zásady auditu pro řadiče domény., Přejděte na objekt GPO, oddíl Konfigurace Počítače -> Politik -> Nastavení systému Windows -> Nastavení Zabezpečení -> Advanced Audit Policy -> Přihlášení/Odhlášení a povolit následující zásady:
- Audit Uzamčení Účtu
- Audit Přihlášení
- Audit Odhlášení
nejjednodušší způsob, jak umožnit této politiky je přes gpmc.msc console úpravou výchozí zásady řadiče domény, nebo pomocí výchozí politiky domény na celé úrovni domény.,
Uzamčení Účtu Událost ID 4740
za Prvé, správce má zjistit, ze kterého počítače či serveru, se vyskytují špatné heslo pokusy a jde dál uzamčení účtu.
Pokud řadič domény nejblíže k uživateli určuje, že uživatel se snaží přihlásit s neplatných pověření, přesměruje požadavek na ověření na DC s FSMO emulátoru primárního ŘADIČE domény role (tento konkrétní DC je zodpovědný za zpracování účtu zámky). Pokud autentizace selže na PDC, reaguje na první DC, že autentizace není možná., Pokud počet neúspěšných ověření překročí hodnotu nastavenou pro doménu v zásadách blokování účtu, uživatelský účet je dočasně uzamčen.