Frage Ermitteln, warum ein Benutzer in Active Directory gesperrt ist


Das Konto eines Benutzers wird in Active Directory gesperrt. Dies liegt wahrscheinlich an einer App, die die Windows-Authentifizierung für die Verbindung mit SQL Server verwendet.

Gibt es eine Möglichkeit herauszufinden, welche App das verursacht und warum die App fehlgeschlagene Anmeldeversuche verursacht?


37
2017-09-14 17:59


Ursprung


Könnte Ihnen helfen, den AD-Kontosperrungen nachzugehen http://www.compuday.co.za/2012/11/13/active-directory-account-lockouts-investigated/


Antworten:


Sieh dir die. An Kontosperrungs- und Verwaltungstools verfügbar im Microsoft Download Center. Insbesondere LockoutStatus.exe und EventCombMT.exe. Sie können möglicherweise nicht genau feststellen, woher die Sperre kommt, aber Sie sollten in der Lage sein, sie etwas einzugrenzen, um sie einfacher zu sehen.

Hier sind ein paar weitere Technet-Artikel, die helfen könnten:
Kontosperrung aufrechterhalten und überwachen
Kontosperrungs-Tools (Beschreibung der Tools im oben verlinkten Download)
Verwenden Sie die geprüfte Netlogon.dll, um Kontosperrungen zu verfolgen
Debug-Protokollierung für den Anmeldedienst aktivieren


57
2017-09-14 18:08



Das ist ein großartiger Beitrag und eine Bestätigung der Ressourceninformationen. Ich wünschte, ich könnte dich mehr belobigen ... - MikeJ
Prost, froh, dass es hilft :) - squillman
Es ist erwähnenswert, dass diese Links nur für 2k3-Server funktionieren. - BetaRide
Gibt es ähnliche Tools für Server 2012 R2? - Chris Powell
Diese Antwort ist veraltet und funktioniert nicht mehr unter Windows 2008 oder neuer. Ich suche auch nach einer Lösung für 2012. - Ricardo C


Grundsätzlich benötigen Sie folgende Informationen

  1. Von welchem ​​Computerkonto wird gesperrt?
  2. Welcher Prozess oder welche Aktivität auf dieser Maschine ist an der Sperrung beteiligt?

Um das erste Konto zu finden, gehen Sie zum primären Domänencontroller Ihrer Domain und suchen nach der Ereignis-ID 644 im Sicherheit Protokoll, das den Namen des Anrufer-Computernamens angibt. Notieren Sie den Computernamen und die Uhrzeit, zu der das Ereignis generiert wurde.

Um einen Prozess oder eine Aktivität zu finden, gehen Sie zu dem in der obigen Ereignis-ID angegebenen Computer und öffnen Sie das Sicherheitsprotokoll und suchen Sie nach der Ereignis-ID 529 mit Details zum Kontoausschluss. In diesem Fall können Sie den Anmeldetyp finden, der Ihnen sagen soll, wie das Konto versucht, sich zu authentifizieren.

Ereignis 529 Details

Ereignis 644 Details


6
2017-09-15 21:27





Ich hatte einen Schüler in einer PowerShell-Klasse eine ähnliche Frage stellen. Er musste wissen, wie er den Kunden ausfindig machte, auf dem die Konten gesperrt waren. Wir haben die Antwort mit einer Kombination aus Auditing und PowerShell gefunden. Unten finden Sie einen Link zu den Anweisungen und dem Code.

http://mctexpert.blogspot.com/2012/08/where-did-users-account-get-locked-out.html


2
2017-09-14 12:30



Während dies theoretisch die Frage beantworten könnte, es wäre vorzuziehen um die wesentlichen Teile der Antwort hier einzubeziehen und den Link als Referenz bereitzustellen. - Scott Pack


Ich arbeite seit etwa 4 Jahren am Service Desk. Wenn keine der oben genannten Probleme gelöst werden konnte, versuchen Sie, den betroffenen Benutzer in den Abschnitt "Gruppenrichtlinie nicht angewendet" von AD zu setzen (um den Zugriff auf die Systemsteuerung über ihr Konto zu ermöglichen). Melden Sie sich dann an und gehen Sie zum Kontrollfeld, suchen Sie nach Anmeldeinformationen und klicken Sie dann auf "Anmeldeinformationen". Was kommt, sind alle Computer gespeichert Anmeldeinformationen (in der Regel gibt es eine, die veraltet ist, d. H. Inkorrekt), entfernen Sie alle Enteries aus dem "Tresor" und das sollte das Problem ohne weitere Probleme lösen. Der einzige Nebeneffekt davon ist, dass der Benutzer seine Anmeldeinformationen erneut eingeben muss, wenn er das nächste Mal die Anwendung verwendet. Hoffe, dass das einigen Leuten da draußen hilft


2
2018-06-18 04:58



Sollte es Ihnen auch erlauben, die gespeicherten Zugangsdaten einzusehen und genau zu sehen, welche App es verursacht;) (normalerweise die Adobe / Google / Apple Updater-Software oder das seltene LYNC-Addon in Outlook), finden sich nur Personen, die falsche Daten in ihre Arbeit einbauen Telefone (für E-Mails), die auch die Sperrung verursachen können - Jonathan
Auf welches "Control Panel" beziehen Sie sich? - Douglas Held


Dieses Thema ist zu alt, aber ich wollte nur ein hilfreiches Tool teilen, wenn jemand das gleiche Problem in Zukunft hat.

Lockout Fixer ist ein kostenloses Tool, mit dem Sie schnell feststellen können, woher die ungültigen Anmeldeinformationen stammen. Sie können Lockout Fixer herunterladen

Sobald Sie die Quell-Workstation mit dem oben genannten Tool gefunden haben, sollte es nicht einfach sein, herauszufinden, welche Anwendung das Problem verursacht.

Überprüfen Sie außerdem die Dienste, geplante Aufgaben, gespeicherte Netzwerkkennwörter, Browserkennwörter, zugeordnete Netzlaufwerke usw.


0
2018-06-27 11:43