Remove From My Forums

Bloqueo constante de usuario de Active Directory.

Pregunta
0

Inicie sesión para votar

Buena tarde.

Espero me puedan ayudar con un problema que tengo con mi usuario de AD. En la empresa donde trabajo se tiene la política de cambio de contraseña cada 90 días y que conserve un histórico de 5 contraseñas. Hace un par de semanas me tocó cambio de contraseña, pero al momento de cambiarla comenzó a bloquearse mi cuenta. Revisando el Log, encuentro que desde este "equipo" se está bloqueando mi cuenta:

Alert: Cuentas Bloqueadas

Source: <DOMAINCONTROLLER>

Path: DOMAINCONTROLLER

Last modified by: System

Last modified time: 12/17/2015 3:31:31 PM

Alert description: EventDisplayNumber (ID):             4740

Event Description:                         A user account was locked out.

Subject:

                Security ID:                        NT AUTHORITY\SYSTEM

                Account Name:                               DOMAINCONTROLLER$

                Account Domain:                            DOMINIO

                Logon ID:                            0x3e7

Account That Was Locked Out:

                Security ID:                        DOMINIO\user

                Account Name:                               user

Additional Information:

                Caller Computer Name:               JCIFS0_1_1A

Publisher Name (Event Source):    Microsoft-Windows-Security-Auditing

Event Category:                             13824

LoggingComputer:                          DOMAINCONTROLLER

EventLevel:                                    8

Channel:                                         Security

UserName:                                     N/A

EventNumber:                                4740

Event Time:                                    2015-12-17T15:31:31.6153255-06:00

El principal problema es que no tenemos ningún equipo con nombre JCIFS0_1_1A, me comentan que podría ser algún servicio o unidad de red mappeada en algún equipo o servidor. Mi pregunta sería ¿cómo puedo identificar realmente en dónde se está bloqueando mi cuenta de red? Ya hasta regresé a la contraseña que tenía anteriormente y los bloqueos se siguen generando, incluso en horarios fuera de oficina (con mi PC apagada).

Como dato adicional, las políticas de Seguridad de la empresa no permiten renombrar el usuario de AD, me piden que detecte y corrija la causa raíz. Esto ya es algo incómodo debido a que a veces ocupo conectarme vía remota fuera del horario laboral para resolver algún incidente pero no puedo hacerlo debido a que está ligado el acceso con mi cuenta de AD y al estar bloqueada no me permite hacer la conexión.

Ojalá y me puedan ayudar con algunos tips para poder detectar la IP o algún otro dato que me pueda servir para resolver este problema.

Gracias de antemano.

Saludos...

jueves, 17 de diciembre de 2015 21:47

Responder

|

Citar

Respuestas

1

Inicie sesión para votar
Hola Kahmus, estando permitido el acceso remoto a la red, y además viendo que el bloqueo se produce desde una máquina que no está en el Dominio y no conoces, todo da para pensar que alguien desde afuera está tratando de hacer un acceso no autorizado

Además lo confirmas, al decir que el bloqueo se produce aún estando tu equipo apagado

Ahí la única opción, si vale lo que pienso, es renombrar, o por lo menos deshabilitar esa cuenta y que uses una diferente

Alguien desde afuera, conociendo tu nombre de usuario está tratando de adivinar la contraseña

Guillermo Delprato
Buenos Aires, Argentina
El Blog de los paso a paso
MVP - MCSE - MCSA2012
MCITP: Enterprise Administrator / Server Administrator
MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
- Marcado como respuesta Moderador M lunes, 28 de diciembre de 2015 17:07
sábado, 19 de diciembre de 2015 9:57

Responder

|

Citar

Moderador