cum să găsiți sursa blocărilor de cont în domeniul Active Directory?
Articles

cum să găsiți sursa blocărilor de cont în domeniul Active Directory?

în acest articol, vă vom arăta cum să urmăriți evenimentele de blocare a contului de utilizator pe controlerele de domeniu Active Directory, să determinați din ce computer și program contul este blocat constant. Pentru a găsi o sursă de blocare a contului, puteți utiliza Jurnalul de securitate Windows, scripturile PowerShell sau instrumentul de blocare și gestionare a contului MSFT (Lockoutstatus.,exe)

cont referință este în prezent blocat și nu poate fi conectat la

contul De domeniu politica de securitate în cele mai multe organizații necesită obligatoriu Active Directory user account lockout dacă parola a fost introdus de mai multe ori într-un rând. De obicei, contul este blocat de controlerul de domeniu timp de câteva minute (5-30), timp în care utilizatorul nu se poate conecta la domeniul publicitar. După ceva timp (setat de politica de securitate a domeniului), contul de utilizator este deblocat automat., Blocarea temporară a contului de anunțuri reduce riscul atacurilor cu forță brută asupra conturilor de utilizator de anunțuri.

dacă contul de utilizator din domeniu este blocat, apare un avertisment atunci când încercați să vă conectați la Windows:

contul de referință este blocat în prezent și este posibil să nu fie conectat la ….

cum să verificați dacă un cont de utilizator este blocat?,

puteți verifica dacă contul este blocat într-ADUC grafic consola sau folosind Get-ADUser cmdlet-ului din Active Directory module pentru PowerShell:

Get-ADUser -Identity jsmith -Properties LockedOut,DisplayName | Select-Object samaccountName, displayName,Lockedout

contul este acum blocat și nu poate fi folosit pentru autentificarea în domeniu (Lockedout = True).,

puteți lista toate în prezent blocat conturile într-un domeniu folosind Search-ADAccount cmdlet-ului:

Search-ADAccount -lockedout

puteți debloca contul manual, cu ajutorul ADUC consola și fără a aștepta până când este deblocat automat. Găsiți contul de utilizator, faceți clic dreapta și selectați Proprietăți. Accesați fila Cont și bifați caseta Deblocați contul. Acest cont este blocat în prezent pe acest controler de domeniu Active Directory. Faceți clic pe OK.,v>

de asemenea, puteți debloca imediat contul dvs. folosind următoarea comandă PowerShell:

Get-ADUser -Identity jsmith | Unlock-ADAccount

puteți verifica contul de blocare de timp, numărul de încercări eșuate parola, momentul de la ultimul succes log on în contul proprietăți în ADUC consola (pe Attribute Editor tab) sau folosind PowerShell:

Blocare Cont de Politicile în domeniu Active Directory

blocare cont politicile sunt de obicei stabilite în Domeniul Implicit Politica pentru întregul domeniu folosind gpmc.,msc snap-in. Politicile necesare pot fi găsite în Computer Configuration -> Setări Windows -> Setări de Securitate -> Cont Politică -> Blocare Cont Politică., Acestea sunt următoarele politici:

  • pragul de blocare de Cont este numărul de încercări de a introduce parolă rău până când contul este blocat;
  • blocare Cont de durata de timp în care contul va fi blocat (după acest timp de blocare va fi eliminat în mod automat);
  • Resetare cont lockout contor de timp pentru a reseta contorul nu a reușit autorizație de încercări.,

În scopul de a proteja dvs. de domeniu, conturi de utilizator parola de la atac brute-force, este recomandat să utilizați puternice parole de utilizator în AD (utilizați o parolă lungime de cel puțin 8 caractere și parola de activare cerințele de complexitate). Aceasta este configurată în secțiunea Politică parolă cu Parola trebuie să îndeplinească cerințele de complexitate și politicile minime de lungime a parolei. Periodic, trebuie să auditați parolele utilizatorilor.,

cazurile în care utilizatorul uită parola și provoacă blocarea contului în sine apar destul de des. Dacă utilizatorul a schimbat recent parola și a uitat-o, o puteți reseta. Dar, în unele cazuri, blocarea contului se întâmplă fără niciun motiv evident. Adică utilizatorul declară că nu a făcut niciodată o greșeală la introducerea unei parole, dar contul său din anumite motive a fost blocat. Administratorul poate debloca contul manual prin solicitarea utilizatorului, dar după un timp situația se poate repeta.,pentru a rezolva problema utilizatorului, administratorul trebuie să găsească de la ce computer și program a fost blocat contul de utilizator din Active Directory.pentru a activa evenimentele de blocare a contului din jurnalele controlorilor de domeniu, trebuie să activați următoarele politici de audit pentru controlorii de domeniu., Du-te la GPO secțiunea Computer Configuration -> Politici -> Setări Windows -> Setări de Securitate -> Avansat Audit Policy -> Logon/Logoff și permite următoarele politici:

  • Audit de Blocare de Cont
  • Audit Logon
  • Audit Logoff

Cel mai simplu mod pentru a activa această politică este prin gpmc.consola msc prin editarea Politicii implicite a controlerului de domeniu sau prin utilizarea politicii implicite a domeniului pe întregul nivel de domeniu.,

cont lockout Event ID 4740

În primul rând, un administrator trebuie să afle de la ce computer sau server apar încercări de parolă rău și merge mai departe cont lockouts.

dacă controlerul de domeniu cel mai apropiat de utilizator determină că utilizatorul încearcă să se conecteze cu acreditări nevalide, acesta redirecționează solicitarea de autentificare către DC cu rolul PDC emulator FSMO (acest DC special este responsabil pentru procesarea blocărilor contului). Dacă autentificarea nu reușește pe PDC, acesta răspunde la primul DC că autentificarea nu este posibilă., Dacă numărul de autentificări nereușite depășește valoarea setată pentru domeniu în Politica pragului de blocare a contului, contul de utilizator este blocat temporar.

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *