Hvordan for å Finne Kilden til Konto Lockout i Active Directory-domene?
Articles

Hvordan for å Finne Kilden til Konto Lockout i Active Directory-domene?

I denne artikkelen vil vi vise deg hvordan å spore brukerens konto lockout hendelser på Active Directory-domenekontrollere, finne ut fra hvilken datamaskin, og programmet kontoen hele tiden låst. For å finne en konto lockout kilde du kan bruke Windows security logg, PowerShell-skript, eller MSFT Konto Lockout og Management Tool (Lockoutstatus.,exe)

De refererte konto er nå låst, og kan ikke være logget på

domenet konto sikkerhetspolitikk i de fleste organisasjoner krever obligatorisk Active Directory user account lockout hvis den dårlige passord har blitt inngått flere ganger på rad. Vanligvis, kontoen er låst av domenekontroller for flere minutter (5-30), der brukeren ikke kan logge deg på AD-domene. Etter en viss tid (satt av domene sikkerhet for personvern), brukerens konto blir automatisk låst opp., Midlertidige AD konto lockout reduserer risikoen for brute force angrep til AD brukerkontoer.

Hvis brukerkonto på domenet er låst, vises en advarsel når du prøver å logge på Windows:

Den refererte konto er nå låst, og kan ikke være logget på ….

Hvordan for å Sjekke om en Bruker Konto er Låst?,

Du kan bekrefte at kontoen er låst i ADUC grafisk konsoll eller ved hjelp av Get-ADUser cmdlet fra Active Directory-modul for PowerShell:

Get-ADUser -Identity jsmith -Properties LockedOut,DisplayName | Select-Object samaccountName, displayName,Lockedout

kontoen er nå låst, og kan ikke brukes for godkjenning i domenet (Lockedout = True).,

Du kan vise en liste over alle kontoene for øyeblikket er låst i et domene ved å bruke Søk-ADAccount cmdlet:

Search-ADAccount -lockedout

Du kan låse opp kontoen manuelt ved å bruke ADUC konsollen, og uten å vente til det er låst opp automatisk. Finn brukeren konto, høyreklikk og velg Egenskaper. Gå til den Konto-fanen og merk av i boksen Låse opp kontoen din. Denne kontoen er nå låst ut på denne Active Directory-domenekontroller. Klikk på OK.,v>

Du kan også umiddelbart låse opp kontoen din ved hjelp av følgende PowerShell-kommando:

Get-ADUser -Identity jsmith | Unlock-ADAccount

Du kan sjekke kontoen lockout tid, antall av mislykkede passord forsøk, tidspunktet for den siste vellykket pålogging i kontoen egenskaper i ADUC konsollen (på Attributt-Editor-fanen) eller ved hjelp av PowerShell:

Konto Lockout-policy i Active Directory domain

konto lockout politikk er vanligvis sett i Standard domenepolicy for hele domenet ved å bruke gpmc.,msc snap-in. De nødvendige retningslinjer kan bli funnet i Computer Configuration -> Windows Innstillinger -> sikkerhetsinnstillinger -> Account Policy -> Konto Lockout for Personvern., Disse er følgende retningslinjer:

  • Konto lockout terskelen er antall forsøk på å taste inn feil passord til kontoen er låst;
  • Konto lockout varighet hvor lenge vil kontoen være låst (etter denne tid låsen vil bli fjernet automatisk);
  • Nullstill konto lockout counter etter er det tid for å nullstille telleren for den mislykkede autorisasjon forsøk.,

for å beskytte ditt domene brukerkontoer fra passord brute-force-angrep, det er anbefalt å bruke sterke bruker-passord i AD (bruk et passord lengde på minst 8 tegn og aktiverer password kompleksitet krav). Dette er konfigurert i Passord Policy delen med Passordet må oppfylle kompleksitet krav og Minimum passordlengde politikk. Med jevne mellomrom, du trenger for å overvåke brukerens passord.,

De tilfeller når brukeren glemmer passordet og fører til kontoen lockout seg forekommer ganske ofte. Hvis brukeren har nylig endret passordet, og glemte det, kan du tilbakestille det. Men i noen tilfeller, konto lockout skjer uten noen åpenbar grunn. I. e. brukeren erklærer at han aldri har gjort en feil når du taster inn et passord, men hans konto for noen grunn var låst. Administrator kan låse opp kontoen manuelt av brukeren forespørselen, men etter en stund situasjonen kan gjenta.,

for å løse brukerens problem må administratoren for å finne ut hvilken datamaskin, og programmet brukerkontoen i Active Directory var låst fra.

Pålogging Revisjon Retningslinjer for Domenekontrollere

for Å aktivere kontoen lockout hendelser i domenekontrolleren logger, må du aktivere følgende revisjon retningslinjer for domenekontrollere., Gå til GPO delen Computer Configuration -> Politikk -> Windows Innstillinger -> sikkerhetsinnstillinger -> Avansert Audit Policy -> Pålogging/Avlogging og aktivere følgende retningslinjer:

  • Revisjon Konto Lockout
  • Revisjon Pålogging
  • Revisjon Avlogging

Den enkleste måten å aktivere denne politikken er gjennom gpmc.msc-konsollen ved å redigere Standard domenekontroller for Personvern, eller ved å bruke Standard domenepolicy på hele domenet nivå.,

Konto Lockout Hendelses-ID 4740

Først av alt, må en administrator for å finne ut fra hvilken datamaskin eller server oppstå feil passord forsøk og går videre konto lockout.

Hvis domenekontrolleren som er nærmest brukeren bestemmer at brukeren prøver å logge inn med ugyldig legitimasjon, den omdirigerer godkjenning forespørsel til DC med PDC-emulator FSMO (dette bestemte DC, er ansvarlig for behandling konto låser). Om godkjenning mislykkes på PDC, det svarer til den første DC-at godkjenning er ikke mulig., Hvis antall av mislykkede pålitelighetskontroller overskrider den verdien som er angitt for domenet i Kontoen lockout terskelen for personvern, brukerkonto er midlertidig låst.

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *