In diesem Artikel zeigen wir Ihnen, wie Sie Ereignisse zur Sperrung von Benutzerkontos auf Active Directory-Domänencontrollern verfolgen, bestimmen, von welchem Computer und Programm das Konto ständig gesperrt ist. Um eine Quelle für die Kontosperrung zu finden, können Sie das Windows-Sicherheitsprotokoll, PowerShell-Skripte oder das MSFT-Tool zum Sperren und Verwalten von Konten (Lockoutstatus) verwenden.,exe)
Das referenzierte Konto ist derzeit gesperrt und ist möglicherweise nicht bei
angemeldet Die Sicherheitsrichtlinie für das Domänenkonto in den meisten Organisationen erfordert eine obligatorische Active Directory-Benutzerkontensperre, wenn das fehlerhafte Kennwort mehrmals hintereinander eingegeben wurde. Normalerweise wird das Konto für einige Minuten (5-30) vom Domänencontroller gesperrt, während dessen sich der Benutzer nicht bei der Anzeigendomäne anmelden kann. Nach einiger Zeit (festgelegt durch Domänensicherheitsrichtlinie) wird das Benutzerkonto automatisch entsperrt., Die vorübergehende Sperrung von Anzeigenkonten verringert das Risiko von Brute-Force-Angriffen auf AD-Benutzerkonten.
Wenn das Benutzerkonto in der Domäne gesperrt ist, wird beim Versuch, sich bei Windows anzumelden, eine Warnung angezeigt:
Wie überprüfe ich, ob ein Benutzerkonto gesperrt ist?,
Sie können überprüfen, ob das Konto in der ADUC-Grafikkonsole gesperrt ist oder das Cmdlet Get-ADUser aus dem Active Directory-Modul für PowerShell verwenden:
Get-ADUser -Identity jsmith -Properties LockedOut,DisplayName | Select-Object samaccountName, displayName,Lockedout
Das Konto ist jetzt gesperrt und kann nicht wird für die Authentifizierung in der Domäne verwendet (Lockedout = True).,
Mit dem Cmdlet Search-ADAccount können Sie alle aktuell gesperrten Konten in einer Domäne auflisten:
Search-ADAccount -lockedout
Sie können das Konto manuell über die ADUC-Konsole entsperren, ohne zu warten, bis es automatisch entsperrt wird. Suchen Sie das Benutzerkonto, klicken Sie mit der rechten Maustaste und wählen Sie Eigenschaften. Gehen Sie zur Registerkarte Konto und aktivieren Sie das Kontrollkästchen Konto entsperren. Dieses Konto ist derzeit auf diesem Active Directory-Domänencontroller gesperrt. OK.,v>
Sie können Ihr Konto auch sofort mit dem folgenden PowerShell-Befehl entsperren:
Get-ADUser -Identity jsmith | Unlock-ADAccount
Sie können die Kontosperrzeit, die Anzahl der fehlgeschlagenen Kennwortversuche, den Zeitpunkt der letzten erfolgreichen Anmeldung in den Kontoeigenschaften in der ADUC-Konsole (auf der Registerkarte Attributeditor) oder mit PowerShell:
Kontosperrrichtlinien in Active Directory-Domäne
Die Kontosperrrichtlinien werden normalerweise in der Standarddomänenrichtlinie für die gesamte Domäne mithilfe der gpmc festgelegt.,msc einrasten. Die erforderlichen Richtlinien finden Sie in der Computerkonfiguration – > Windows-Einstellungen- > Sicherheitseinstellungen- > Kontorichtlinie – > Kontosperrrichtlinie., Dies sind die folgenden Richtlinien:
- Kontosperrschwelle ist die Anzahl der Versuche, das schlechte Passwort einzugeben, bis das Konto gesperrt ist;
- Kontosperrdauer für wie lange das Konto gesperrt wird (nach dieser Zeit wird die Sperre automatisch entfernt);
- Kontosperrungszähler zurücksetzen Nach ist die Zeit, um den Zähler der fehlgeschlagenen Autorisierungsversuche zurückzusetzen.,
Die Fälle, in denen der Benutzer das Passwort vergisst und die Kontosperre selbst verursacht, treten häufig auf. Wenn der Benutzer das Kennwort kürzlich geändert und vergessen hat, können Sie es zurücksetzen. In einigen Fällen erfolgt die Kontosperrung jedoch ohne ersichtlichen Grund. Dh Der Benutzer erklärt, dass er bei der Eingabe eines Passworts nie einen Fehler gemacht hat, sein Konto jedoch aus irgendeinem Grund gesperrt wurde. Der Administrator kann das Konto manuell durch die Benutzeranforderung entsperren, aber nach einer Weile kann sich die Situation wiederholen.,
Um das Problem des Benutzers zu lösen, muss der Administrator herausfinden, von welchem Computer und Programm das Benutzerkonto in Active Directory gesperrt wurde.
Anmelde-Überwachungsrichtlinien für Domänencontroller
Um Kontosperrereignisse in den Domänencontrollerprotokollen zu aktivieren, müssen Sie die folgenden Überwachungsrichtlinien für Ihre Domänencontroller aktivieren., Gehen Sie zum GPO-Abschnitt Computerkonfiguration- > Richtlinien- > Windows-Einstellungen- > Sicherheitseinstellungen – > Erweiterte Audit-Richtlinie – > Anmelden/Abmelden und aktivieren Sie die folgenden Richtlinien:
Audit Account Lockout
Am einfachsten aktivieren Sie diese Richtlinie über die gpmc.erstellen Sie die Konsole, indem Sie die standardmäßige Domänencontrollerrichtlinie bearbeiten oder die Standarddomänenrichtlinie auf der gesamten Domänenebene verwenden.,
Kontosperrereignis ID 4740
Zunächst muss ein Administrator herausfinden, von welchem Computer oder Server fehlerhafte Kennwortversuche auftreten und geht weiter Kontosperrungen.
Wenn der Domänencontroller, der dem Benutzer am nächsten liegt, feststellt, dass der Benutzer versucht, sich mit ungültigen Anmeldeinformationen anzumelden, leitet er die Authentifizierungsanforderung mit der Rolle PDC / FSMO an den DC weiter (dieser bestimmte DC ist für die Verarbeitung von Kontosperren verantwortlich). Wenn die Authentifizierung auf dem PDC fehlschlägt, antwortet sie auf die erste Meldung, dass eine Authentifizierung nicht möglich ist., Wenn die Anzahl erfolgloser Authentifizierungen den Wert überschreitet, der für die Domäne in der Richtlinie zum Sperren von Konten festgelegt wurde, wird das Benutzerkonto vorübergehend gesperrt.