en este artículo, le mostraremos cómo rastrear los eventos de bloqueo de cuentas de usuario en controladores de dominio de Active Directory, determinar desde qué equipo y programar la cuenta está bloqueada constantemente. Para encontrar una fuente de bloqueo de cuenta, puede usar el registro de seguridad de Windows, los scripts de PowerShell o la herramienta de bloqueo y Administración de cuentas MSFT (Lockoutstatus.,exe)
la cuenta a la que se hace referencia está bloqueada actualmente y es posible que no se inicie sesión en
la directiva de seguridad de la cuenta de dominio en la mayoría de las organizaciones requiere el bloqueo obligatorio de la cuenta de usuario de Active Directory si la contraseña incorrecta se ha introducido varias veces seguidas. Por lo general, el controlador de dominio bloquea la cuenta durante varios minutos (5-30), durante los cuales el Usuario no puede iniciar sesión en el dominio de AD. Después de algún tiempo (establecido por la política de seguridad del dominio), la cuenta de usuario se desbloquea automáticamente., El bloqueo temporal de cuentas de anuncios reduce el riesgo de ataques de fuerza bruta a las cuentas de usuario de anuncios.
si la cuenta de usuario en el dominio está bloqueada, aparece una advertencia al intentar iniciar sesión en Windows:
¿Cómo Comprobar si una Cuenta de Usuario está Bloqueada?,
puede verificar que la cuenta está bloqueada en la consola gráfica de ADUC o mediante el cmdlet Get-ADUser desde el módulo Active Directory para PowerShell:
Get-ADUser -Identity jsmith -Properties LockedOut,DisplayName | Select-Object samaccountName, displayName,Lockedout
la cuenta ahora está bloqueada y no se puede usar para la autenticación en el dominio (lockedout = True).,
Puede enumerar todas las cuentas actualmente bloqueadas en un dominio utilizando el cmdlet Search-ADAccount:
Search-ADAccount -lockedout
puede desbloquear la cuenta manualmente mediante la consola de ADUC y sin esperar hasta que se desbloquee automáticamente. Busque la cuenta de usuario, haga clic derecho y seleccione Propiedades. Ve a la pestaña Cuenta y marca la casilla desbloquear cuenta. Esta cuenta está bloqueada actualmente en este Controlador de dominio de Active Directory. Haga clic en Aceptar.,v>
También puede desbloquear inmediatamente su cuenta utilizando el siguiente comando de PowerShell:
Get-ADUser -Identity jsmith | Unlock-ADAccount
puede comprobar el tiempo de bloqueo de la cuenta, el número de intentos fallidos de contraseña, la hora del último inicio de sesión exitoso en las propiedades de la cuenta en la consola de ADUC (en el Editor de atributos o mediante PowerShell:
directivas de bloqueo de cuentas en el dominio de Active Directory
las directivas de bloqueo de cuentas suelen establecerse en la directiva de dominio predeterminada para todo el dominio mediante GPMC.,complemento msc. Las políticas necesarias se pueden encontrar en la Configuración del Equipo -> Configuración de Windows -> Configuración de Seguridad -> directivas de Cuenta -> Directiva de Bloqueo de Cuenta., Estas son las siguientes políticas:
- El umbral de bloqueo de cuenta es el número de intentos de ingresar la contraseña incorrecta hasta que la cuenta se bloquea;
- Duración del bloqueo de Cuenta durante cuánto tiempo se bloqueará la cuenta (después de este tiempo, el bloqueo se eliminará automáticamente);
- restablecer el contador de bloqueo de cuenta después es el momento de restablecer el contador de los intentos de autorización fallidos.,
los casos en que el usuario olvida la contraseña y causa el bloqueo de la cuenta se producen con bastante frecuencia. Si el Usuario ha cambiado recientemente la contraseña y la ha olvidado, puede restablecerla. Pero en algunos casos, el bloqueo de la cuenta ocurre sin ninguna razón obvia. Es decir, el usuario declara que nunca cometió un error al ingresar una contraseña, pero su cuenta por alguna razón estaba bloqueada. El administrador puede desbloquear la cuenta manualmente a petición del usuario, pero después de un tiempo la situación puede repetirse.,
para resolver el problema del usuario, el administrador necesita encontrar desde qué computadora y programa se bloqueó la cuenta de usuario en Active Directory.
directivas de auditoría de inicio de sesión para Controladores de dominio
para habilitar los eventos de bloqueo de cuenta en los registros del controlador de dominio, debe habilitar las siguientes directivas de auditoría para sus controladores de dominio., Vaya a la sección GPO configuración del equipo -> políticas -> configuración de Windows -> configuración de seguridad -> Política de auditoría avanzada -> iniciar sesión/Cerrar sesión y habilitar las siguientes directivas:
- audit account lockout
- audit logon
- audit logoff
la forma más fácil de habilitar esta directiva es a través de GPMC.MSC console editando la directiva de controlador de dominio predeterminada o utilizando la directiva de dominio predeterminada en todo el nivel de dominio.,
ID de Evento de bloqueo de Cuenta 4740
En primer lugar, un administrador tiene que averiguar desde qué computadora o servidor se producen intentos de contraseña defectuosos y va más allá de los bloqueos de cuenta.
si el controlador de dominio más cercano al usuario determina que el Usuario está intentando iniciar sesión con credenciales no válidas, redirige la solicitud de autenticación al DC con el rol FSMO del emulador PDC (este DC en particular es responsable de procesar los bloqueos de cuentas). Si la autenticación falla en el PDC, responde al primer DC que la autenticación no es posible., Si el número de autenticaciones fallidas supera el valor establecido para el dominio en la directiva umbral de bloqueo de cuenta, la cuenta de usuario se bloquea temporalmente.