In questo articolo, ti mostreremo come tenere traccia degli eventi di blocco dell’account utente sui controller di dominio di Active Directory, determinare da quale computer e programma l’account è costantemente bloccato. Per trovare una fonte di blocco dell’account è possibile utilizzare il registro di sicurezza di Windows, gli script PowerShell o lo strumento di blocco e gestione dell’account MSFT (Lockoutstatus.,exe)
L’account di riferimento è attualmente bloccato e potrebbe non essere connesso a
La politica di sicurezza dell’account di dominio nella maggior parte delle organizzazioni richiede il blocco obbligatorio dell’account utente di Active Directory se la password errata è stata inserita più volte di seguito. Di solito, l’account viene bloccato dal controller di dominio per diversi minuti (5-30), durante i quali l’utente non può accedere al dominio AD. Dopo un po ‘ di tempo (impostato dalla politica di sicurezza del dominio), l’account utente viene sbloccato automaticamente., Il blocco temporaneo dell’account ANNUNCIO riduce il rischio di attacchi di forza bruta agli account utente ANNUNCIO.
Se l’account utente nel dominio è bloccato, viene visualizzato un avviso quando si tenta di accedere a Windows:
Come verificare se un account utente è bloccato?,
È possibile verificare che l’account è bloccato nel ADUC grafica console o il Get-ADUser cmdlet da Active Directory module per PowerShell:
Get-ADUser -Identity jsmith -Properties LockedOut,DisplayName | Select-Object samaccountName, displayName,Lockedout
L’account è bloccato e non può essere utilizzato per l’autenticazione nel dominio (Lockedout = True).,
Puoi elencare tutti gli account attualmente bloccati in un dominio usando il cmdlet Search-ADAccount:
Search-ADAccount -lockedout
Puoi sbloccare l’account manualmente usando la console ADUC e senza aspettare che venga sbloccato automaticamente. Trovare l’account utente, fare clic destro e selezionare Proprietà. Vai alla scheda Account e seleziona la casella Sblocca account. Questo account è attualmente bloccato su questo controller di dominio Active Directory. Fare clic su OK.,v>
Si può anche immediatamente sbloccare il tuo account utilizzando il seguente comando:
Get-ADUser -Identity jsmith | Unlock-ADAccount
È possibile controllare il tempo di blocco dell’account, il numero di tentativi con password errate, il tempo di ultimo accesso nelle proprietà dell’account nel ADUC console (sulla scheda Editor Attributi) o tramite PowerShell:
Criteri di Blocco degli Account in Active Directory domain
I criteri di blocco degli account sono di solito insieme a il Criterio di Dominio Predefinito per l’intero dominio utilizzando la console gestione criteri di gruppo.,msc snap-in. I criteri necessari possono essere trovati nella Configurazione del computer- > Impostazioni di Windows -> Impostazioni di sicurezza -> Criteri di account -> Criteri di blocco account., Queste sono le norme indicate di seguito:
- soglia di blocco degli Account è il numero di tentativi di inserimento della password non valida fino a che l’account è bloccato;
- blocco dell’Account per quanto tempo l’account verrà bloccato (dopo questo tempo il blocco sarà rimosso automaticamente);
- Reset contatore di blocco degli account dopo è il momento di resettare il contatore della mancata autorizzazione tentativi.,
I casi in cui l’utente dimentica la password e causa il blocco dell’account si verificano abbastanza spesso. Se l’utente ha recentemente cambiato la password e l’ha dimenticata, è possibile ripristinarla. Ma in alcuni casi, il blocco dell’account avviene senza alcuna ragione ovvia. Cioè l’utente dichiara di non aver mai commesso un errore quando ha inserito una password, ma il suo account per qualche motivo è stato bloccato. L’amministratore può sbloccare l’account manualmente dalla richiesta dell’utente, ma dopo un po ‘ la situazione potrebbe ripetersi.,
Per risolvere il problema dell’utente, l’amministratore deve trovare da quale computer e programma è stato bloccato l’account utente in Active Directory.
Criteri di controllo dell’accesso per i controller di dominio
Per abilitare gli eventi di blocco dell’account nei registri del controller di dominio, è necessario abilitare i seguenti criteri di controllo per i controller di dominio., Vai all’oggetto criteri di gruppo sezione Configurazione Computer -> Politiche> Impostazioni di Windows -> Impostazioni di Protezione -> Avanzate Criteri di Controllo -> Logon/Logoff e abilitare i seguenti criteri:
- Account di Controllo di Blocco
- Controllo di Accesso
- Disconnessione del Controllo
Il modo più semplice per attivare questo criterio è attraverso la console gestione criteri di gruppo.console msc modificando il criterio del controller di dominio predefinito o utilizzando il criterio di dominio predefinito sull’intero livello di dominio.,
Account Lockout Event ID 4740
Prima di tutto, un amministratore deve scoprire da quale computer o server si verificano tentativi di password errati e va oltre i blocchi dell’account.
Se il controller di dominio più vicino all’utente determina che l’utente sta tentando di accedere con credenziali non valide, reindirizza la richiesta di autenticazione al DC con il ruolo FSMO dell’emulatore PDC (questo particolare DC è responsabile dell’elaborazione dei blocchi dell’account). Se l’autenticazione non riesce sul PDC, risponde al primo DC che l’autenticazione non è possibile., Se il numero di autenticazioni non riuscite supera il valore impostato per il dominio nel criterio di soglia di blocco dell’account, l’account utente viene temporaneamente bloccato.