none
problema con GPO RRS feed

  • Pregunta

  • Hola a todos,

     

    he aplicado una politica para contraseñas y bloqueos de cuenta de usuarios y al aplicarse han empezado a bloquearse las cuentas de usuarios sin motivo aparente, total que he eliminado la politica he comprobado que todos los controladores de dominio estan refrescados con la politica pero siguen llegando usuarios a los que se les bloquea la cuenta. Como puede ser que se le bloquee la cuenta si la politica ya no es efectiva?

     

    Muchas gracuias

    martes, 30 de marzo de 2010 15:24

Respuestas

  • Buenas, supongo que habrás hecho un gpupdate /force desde el DC en el CMD, NO???

     

    Esas políticas si es en 2003 Server o  2000 Sever son además para TODOS los usuarios ya que modificamos la Default Poilicy GPO. en 2008 PUEDEN HACERSE en OU pero no es tan sencillo... (tengo un manual por si lo quieren).

     

    Otra opción es algún tipo de virus tipo Conflicker o similar. Comprueba ey nos cuentas.

     

    Salu2

    martes, 30 de marzo de 2010 17:02
  • Jesus , 


    En ese caso tocaria hacer algo de troubleshooting para detectar por que las cuentas se estan bloqueando inesperadamente



    Para hacer un correcto troubleshooting deberiamos 


    2 - Habilitar la auditoria de Account Logon Events , Account Management y Logon Events.

    3 - Una vez con todos los logs activados , deberas tratar de identificar desde donde provienen los intentos de logueo, para eso puedes utilizar cualquiera de los logs

    En el netlogon.log, debes buscar los intentos de logueo de la cuenta que estes buscando y veras que dice via xxxxxxx  , donde xxxxxx es la maquina desde donde proviene el intento de logueo.

    En el caso de el Visor De sucesos , puedes filtrar oor eventos 644, donde tendras una linea llamada Caller Machine Name , que tambien es desde donde se ha bloqueado la cuenta.

    Una vez tengas identificada la maquina desde donde se bloquea la cuenta ya puedes verificar por Virus , tareas Programdas , Unidades Mapeadas , Servicios o cualquier cosa que puedan enviar intentos de autenticacion.

    El siguiente es un documento genial para hacer troubleshooting de Account Lockout
    http://blogs.technet.com/latam/archive/2006/03/17/423428.aspx 


    Sebastian del Rio - MCP - MCSA +S - MCSE +S - MCITP:Enterprise Administrator Buenos Aires - Argentina Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los riesgos
    miércoles, 31 de marzo de 2010 0:30
    Moderador
  • Tambien fijate de hacer en la amquina cliente en lineas de comando :

    Gpresult , te listara las politicas que esta tomando , fijate que la informcion es muy clara y te indica de que servidor esta tomando las GPO , si te figura esa politica de bloqueo , hace gpupdate / force , para refrescar lo aplicado , luego repeti el comando anterior y compara.

    Saludos , suerte

    jueves, 1 de abril de 2010 13:29

Todas las respuestas

  • Buenas, supongo que habrás hecho un gpupdate /force desde el DC en el CMD, NO???

     

    Esas políticas si es en 2003 Server o  2000 Sever son además para TODOS los usuarios ya que modificamos la Default Poilicy GPO. en 2008 PUEDEN HACERSE en OU pero no es tan sencillo... (tengo un manual por si lo quieren).

     

    Otra opción es algún tipo de virus tipo Conflicker o similar. Comprueba ey nos cuentas.

     

    Salu2

    martes, 30 de marzo de 2010 17:02
  • Jesus , 


    En ese caso tocaria hacer algo de troubleshooting para detectar por que las cuentas se estan bloqueando inesperadamente



    Para hacer un correcto troubleshooting deberiamos 


    2 - Habilitar la auditoria de Account Logon Events , Account Management y Logon Events.

    3 - Una vez con todos los logs activados , deberas tratar de identificar desde donde provienen los intentos de logueo, para eso puedes utilizar cualquiera de los logs

    En el netlogon.log, debes buscar los intentos de logueo de la cuenta que estes buscando y veras que dice via xxxxxxx  , donde xxxxxx es la maquina desde donde proviene el intento de logueo.

    En el caso de el Visor De sucesos , puedes filtrar oor eventos 644, donde tendras una linea llamada Caller Machine Name , que tambien es desde donde se ha bloqueado la cuenta.

    Una vez tengas identificada la maquina desde donde se bloquea la cuenta ya puedes verificar por Virus , tareas Programdas , Unidades Mapeadas , Servicios o cualquier cosa que puedan enviar intentos de autenticacion.

    El siguiente es un documento genial para hacer troubleshooting de Account Lockout
    http://blogs.technet.com/latam/archive/2006/03/17/423428.aspx 


    Sebastian del Rio - MCP - MCSA +S - MCSE +S - MCITP:Enterprise Administrator Buenos Aires - Argentina Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los riesgos
    miércoles, 31 de marzo de 2010 0:30
    Moderador
  • Muchas gracias,

     

    Me pongo a mirar toda la información que me habeis proporcionado y os voy contando, espero que no sea grave.

     

    Gracias

    miércoles, 31 de marzo de 2010 10:55
  • Tambien fijate de hacer en la amquina cliente en lineas de comando :

    Gpresult , te listara las politicas que esta tomando , fijate que la informcion es muy clara y te indica de que servidor esta tomando las GPO , si te figura esa politica de bloqueo , hace gpupdate / force , para refrescar lo aplicado , luego repeti el comando anterior y compara.

    Saludos , suerte

    jueves, 1 de abril de 2010 13:29