neste artigo, vamos mostrar – lhe como seguir os eventos de bloqueio de contas do utilizador nos controladores de domínio de Directórios activos, determinar a partir de que Computador e programa a conta está constantemente bloqueada. A fim de encontrar uma fonte de bloqueio de Conta, você pode usar o registro de segurança do Windows, scripts PowerShell, ou a Ferramenta de bloqueio e gerenciamento de conta MSFT (Lockoutstatus.,exe)
a conta referenciada está actualmente bloqueada e pode não estar ligada a
a Política de segurança da conta de domínio na maioria das organizações necessita de bloqueio obrigatório da conta de utilizador activa de Directórios se a senha inválida tiver sido introduzida várias vezes numa linha. Normalmente, a conta é bloqueada pelo controlador de domínio por vários minutos (5-30), durante o qual o Usuário não pode entrar no domínio de AD. Após algum tempo (definido pela Política de segurança do domínio), a conta do Usuário é desbloqueada automaticamente., O bloqueio temporário da conta AD reduz o risco de ataques de Força bruta para contas de usuário AD.
Se a conta do utilizador no domínio estiver bloqueada, aparece um aviso ao tentar entrar no Windows:
Como verificar se uma conta de Utilizador está bloqueada?,
Você pode verificar que a conta está bloqueada no ADUC gráfico ou de consola utilizando o Get-ADUser cmdlet a partir do módulo do Active Directory para o PowerShell:
Get-ADUser -Identity jsmith -Properties LockedOut,DisplayName | Select-Object samaccountName, displayName,Lockedout
A conta foi bloqueada e não poderá ser usada para autenticação no domínio (Lockedout = True).,
pode listar todas as contas bloqueadas de momento num domínio usando o cmdlet de pesquisa-ADAccount:
Search-ADAccount -lockedout
pode desbloquear a conta manualmente usando a consola de ADUC e sem esperar que seja desbloqueada automaticamente. Encontre a conta do utilizador, carregue com o botão direito e seleccione as propriedades. Vá para a página da Conta e assinale a opção Desbloquear a conta. Esta conta está bloqueada neste Controlador de domínio de directório activo. clicar.,v>
Você também pode liberar imediatamente a sua conta utilizando o seguinte comando do PowerShell:
Get-ADUser -Identity jsmith | Unlock-ADAccount
Você pode verificar o bloqueio de conta o tempo, o número de falhas em tentativas de senha, a hora do último início de sessão com êxito nas propriedades da conta no ADUC (console na guia Editor de atributos), ou usando o PowerShell:
Diretivas de Bloqueio de Conta de domínio do Active Directory
As políticas de bloqueio de conta normalmente são definidas na Diretiva de Domínio Padrão para todo o domínio usando o gpmc.,MSC snap-in. As políticas necessárias podem ser encontradas em Configuração do Computador -> Configurações do Windows -> Configurações de Segurança -> Diretiva de Conta -> Diretiva de Bloqueio de Conta., Estas são as diretivas a seguir:
- limite de bloqueio de Conta é o número de tentativas para digitar a senha incorreta até que a conta está bloqueada;
- duração do bloqueio de Conta por quanto tempo a conta será bloqueada (após este tempo, o bloqueio será removido automaticamente);
- Redefinir contador de bloqueio de conta, depois é a hora de redefinir o contador de falha nas tentativas de autorização.,
os casos em que o utilizador esquece a senha e faz com que o bloqueio da conta ocorra muitas vezes. Se o usuário mudou recentemente a senha e esqueceu – a, você pode reiniciá-la. Mas em alguns casos, o bloqueio da conta acontece sem qualquer razão óbvia. Ou seja, o Usuário declara que nunca cometeu um erro ao introduzir uma senha, mas sua conta por alguma razão foi bloqueada. O administrador pode desbloquear a conta manualmente pelo pedido do usuário, mas depois de um tempo a situação pode se repetir.,
A fim de resolver o problema do usuário, o administrador precisa encontrar de que Computador e programa a conta de usuário no diretório ativo foi bloqueado.
Políticas de auditoria de Logon para controladores de domínio
para permitir eventos de bloqueio de contas nos registos do controlador de domínio, você precisa de activar as seguintes políticas de auditoria para os seus controladores de domínio., Ir para o GPO seção Configuração do Computador -> Diretivas> Configurações do Windows -> Configurações de Segurança -> Avançado de Diretiva de Auditoria -> início de sessão/fim de sessão e habilitar as seguintes políticas:
- Auditoria de Bloqueio de Conta
- Auditoria de início de sessão
- Auditoria de fim de sessão
A maneira mais fácil para ativar esta diretiva é através do gpmc.MSC console editando a Política de controle de domínio padrão, ou usando a Política de domínio padrão em todo o nível de domínio.,
Account Lockout Event ID 4740
Em primeiro lugar, um administrador tem de descobrir de que computador ou servidor ocorrem más tentativas de senha e vai mais além bloqueios de conta.
Se o controlador de domínio mais próximo do utilizador determinar que o Utilizador está a tentar entrar com credenciais inválidas, redirecciona o pedido de autenticação para o DC com o papel do emulador PDC FSMO (este DC em particular é responsável pelo processamento de bloqueios de contas). Se a autenticação falha no PDC, ele responde ao primeiro DC que a autenticação não é possível., Se o número de autenticações sem sucesso exceder o valor definido para o domínio na Política de limite de bloqueio de Contas, a conta de usuário é temporariamente bloqueada.