Servers - Поиск источника блокировки пользователя

Реклама:
Записка от 20.10.2014

У администраторов ИТ службы бывают случаи, когда пользователь постоянно блокируется, причем это не связано с неправильным вводом паролем самим пользователем, блокировка появляется регулярно через определенные промежутки времени (обычно 15-30 минут). Начав расследование такой ситуации нередко выясняется, что этот пользователь недавно поменял пароль, а вот вспомнить, на каких устройствах он работал в течении срока действия старого пароля, пользователь уже не может. В этом случае найти источник блокировки учетной записи администратору поможет следующий алгоритм:

1) С помощью программы Account Lock Status (программа доступна на сайте Microsoft) найти доменный контроллер - источник блокировки пользователя.

а) Запустить программу.

б) В окне выбора цели (Select Target) выбрать проблемную учетную запись.

в) Подождать, пока программа просканирует все доменные контроллеры.

г) Среди результатов поиска найти доменный контроллер с самой последней датой блокировки (Last Bad Pwd) и значением количества блокировок (Bad Pwd Count) больше нуля.

Server - Lockout Search - 01

2) На проблемном доменном контроллере найти IP адрес источника блокировки.

а) Зайти на доменный контроллер через удаленный рабочий стол.

б) Отрыть журнал безопасности (Security Log).

в) Отфильтровать журнал безопасности по идентификаторам событий 4771 и 529.

г) В отфильтрованном журнале с помощью поиска по проблемной учетной записи найти события блокировки доступа.

д) Если в событии блокировки доступа указан код ошибки 0x18 (Failure code 0x18) - это и есть источник блокировки.

е) Необходимо выписать IP адрес, указанный в этом событии Client Address: ::ffff:192.168.1.1.

Server - Lockout Search - 02.png

3) Найти устройство, которое блокирует учетную запись.

а) С помощью DNS сервера найти имя устройства (обычно помогает команда ping -a 192.168.1.1).

б) Если в DNS не значится найденный IP, то необходимо поискать его в журналах событий коммутаторов.

Server - Lockout Search - 03.png

4) На найденном устройстве решить проблему с блокировкой.

а) На серверах это обычно забытые сессии удаленных рабочих столов.

б) На компьютерах - сохраненные пароли сетевых дисков, сохраненные пароли в браузерах.

в) На прочих устройствах - учетные записи, введенные при инициализации и конфигурации устройств.

Похожая статья на английском языке тут.

Вверх