Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти
 
Страницы: 1
RSS
Самопроизвольная блокировка пользователя в Active Directory
 
Windows 2003
Active Directory
более 100 учётных записей.
Распределены по различным департаментам.
Возникла проблема с одной учётной записью: Во время работы account блокируется - появляется галочка в AD account is block.
Какого вида должна быть запись в Евентах при блокировании?
Где ещё можно посмотреть логи, чтобы найти причину блокировки?
 
смотрите логи системы,
должно быть что то записано.

P.s. может кто то постояно не тот пароль набирает?
 
логи смотреть на контроллере домена, security log. будет видно когда и с какого компьютера были произведены попытки неправильно аутентифицироваться
 
Алекс М

Service Pack 1 стоит? В Windows XP без SP1 такое явление наблюдалось очень часто. Насколько помню и в Windows 2003 оно также присутствовало. Как я думаю, это ошибка LSASS - SP1 его обновляет, насколько помню, и данное явление пропадает.
 
Цитата
VictorVG пишет:
Service Pack 1 стоит
нет - SP2.
Цитата
Michael пишет:
security log
Код
Authentication Ticket Request:
    User Name:      lika
    Supplied Realm Name:   domain
    User ID:         -
    Service Name:      [B]krbtgt[/B]/domain
    Service ID:      -
    Ticket Options:      0x40810010
    Result Code:      0x12
    Ticket Encryption Type:   -
    Pre-Authentication Type:   -
    Client Address:      192.168.0.152
    Certificate Issuer Name:   
    Certificate Serial Number:   
    Certificate Thumbprint:

выделенное смущает...
[I]Event ID 672[/I]

Logon Failure:
    Reason:      Account locked out
    User Name:   lika
    Domain:   domain
    Logon Type:   3
    Logon Process:   NtLmSsp 
    Authentication Package:   NTLM
    Workstation Name:   CPU10
    Caller User Name:   -
    Caller Domain:   -
    Caller Logon ID:   -
    Caller Process ID: -
    Transited Services: -
    Source Network Address:   192.168.0.152
    Source Port:   1608
[I]Event ID 539[/I]

Logon attempt by:   MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
 Logon account:   lika
 Source Workstation:   CPU10
 Error Code:   0xC0000234
[I]Event ID 680[/I] это уже её попытка залогинется при блокированной учётке.
 
тогда вопрос по другому задам.
Как в АД для этого пользователя отключить блокировку вообще? Т.е. что бы учётка была включенна постоянно, не смотря на не правильный перебор паролей.
 
Цитата
Алекс М пишет:
Как в АД для этого пользователя отключить блокировку вообще?

Это можно сделать группповыми политиками только в рамках всего домена
 
Приведенные записи лога - уже постфактум блокировки (Kerberos result code 0x12 - ограничение на вход).
Надо искать неудачные поптыки аутентификации (Account Logon Event и Logon Events) с этой учетной записью.

Искать удобно EventCombMT из состава http://www.microsoft.com/downloads/details.aspx?FamilyID=7AF2E69C-91F3-4E63-8629-B999ADDE0B9E&displaylang=en

Зачастую такое происходит если пользователь "примапил" диск с паролем, а потом пароль сменился (99%), или создал задачу в планировкщике или созадл сервис "под собой". Т.е. надо найти с какой машины идет блокировка, а потом искать на ней причину.
 
offtopic,
спасибо, буду искать и спользуя ссылку.
Но пароль не был сменён 100% - учётной записи не разрешено изменять пароль. Учётка блокируется при работе с рабочего компа и домашнего.
И ещё: вчера с ~19 по 03 часа ночи всё было Ок. А утром снова в блок.
Ищю 1% блокировки.
вот одна строчка из лога:
Код
675,AUDIT FAILURE,Security,Wed May 07 11:50:00 2008,NT AUTHORITY\SYSTEM,
     Ошибка предварительной проверки:     Имя пользователя: gena
     Код пользователя: %{S-1-5-21-73586283-1220945662-1801674531-1112}
     Имя службы: krbtgt/DOMAIN     Тип предварительной проверки: 0x2
     Код ошибки: 0x18     Адрес клиента:  192.168.0.1    
 
Код
675,AUDIT FAILURE,Security,Wed May 07 11:50:00 2008,NT AUTHORITYSYSTEM, 
     Ошибка предварительной проверки:     Имя пользователя: gena 
     Код пользователя: %{S-1-5-21-73586283-1220945662-1801674531-1112} 
     Имя службы: krbtgt/DOMAIN     Тип предварительной проверки: 0x2 
     Код ошибки: 0x18     Адрес клиента:  192.168.0.1
 
Адрес клиента 192.168.0.1
сразу вопрос: клиент - в смысле кто авторизует?
этот IP принадлежит машине, на которой недавно установил вторичный AD.
Так же там DHCP сервер.
 
Поищите ошибки в журналах машины  192.168.0.1
 
Цитата
offtopic пишет:
192.168.0.1
Код
675,AUDIT FAILURE,Security,Wed May 07 14:23:59 2008,NT AUTHORITY\SYSTEM,
     Ошибка предварительной проверки:     Имя пользователя: gena
     Код пользователя: %{S-1-5-21-73586283-1220945662-1801674531-1112}
     Имя службы: krbtgt/DOMAIN     Тип предварительной проверки: 0x2
     Код ошибки: 0x18     Адрес клиента:  192.168.0.132

также есть "Адрес клиента:  127.0.0.1"
192.168.0.132 - это рабочая станция где работает человек  учёткой gena
вот ещё:
Код
672,AUDIT FAILURE,Security,Wed May 07 14:24:05 2008,NT AUTHORITY\SYSTEM,
     Запрос билета проверки подлинности:     Имя пользователя: Gena
     Предоставленное имя сферы: DOMAIN     Код пользователя: -
     Имя службы: krbtgt/DOMAIN     Код службы: -
     Параметры билета: 0x40810010     Код результата:  0x12     Тип шифрования билета: -
     Тип предварительной проверки: -     Адрес клиента:  192.168.0.132
Страницы: 1
Читают тему