none
Bloqueo constante de usuario de Active Directory. RRS feed

  • Pregunta

  • Buena tarde.

    Espero me puedan ayudar con un problema que tengo con mi usuario de AD. En la empresa donde trabajo se tiene la política de cambio de contraseña cada 90 días y que conserve un histórico de 5 contraseñas. Hace un par de semanas me tocó cambio de contraseña, pero al momento de cambiarla comenzó a bloquearse mi cuenta. Revisando el Log, encuentro que desde este "equipo" se está bloqueando mi cuenta:

    Alert: Cuentas Bloqueadas

    Source: <DOMAINCONTROLLER>

    Path: DOMAINCONTROLLER

    Last modified by: System

    Last modified time: 12/17/2015 3:31:31 PM

    Alert description: EventDisplayNumber (ID):             4740

    Event Description:                         A user account was locked out.

     

    Subject:

                    Security ID:                        NT AUTHORITY\SYSTEM

                    Account Name:                               DOMAINCONTROLLER$

                    Account Domain:                            DOMINIO

                    Logon ID:                            0x3e7

     

    Account That Was Locked Out:

                    Security ID:                        DOMINIO\user

                    Account Name:                               user

     

    Additional Information:

                    Caller Computer Name:               JCIFS0_1_1A

     

    Publisher Name (Event Source):    Microsoft-Windows-Security-Auditing

    Event Category:                             13824

    LoggingComputer:                          DOMAINCONTROLLER

    EventLevel:                                    8

    Channel:                                         Security

    UserName:                                     N/A

    EventNumber:                                4740

    Event Time:                                    2015-12-17T15:31:31.6153255-06:00

     

    El principal problema es que no tenemos ningún equipo con nombre JCIFS0_1_1A, me comentan que podría ser algún servicio o unidad de red mappeada en algún equipo o servidor. Mi pregunta sería ¿cómo puedo identificar realmente en dónde se está bloqueando mi cuenta de red? Ya hasta regresé a la contraseña que tenía anteriormente y los bloqueos se siguen generando, incluso en horarios fuera de oficina (con mi PC apagada).

    Como dato adicional, las políticas de Seguridad de la empresa no permiten renombrar el usuario de AD, me piden que detecte y corrija la causa raíz. Esto ya es algo incómodo debido a que a veces ocupo conectarme vía remota fuera del horario laboral para resolver algún incidente pero no puedo hacerlo debido a que está ligado el acceso con mi cuenta de AD y al estar bloqueada no me permite hacer la conexión.

    Ojalá y me puedan ayudar con algunos tips para poder detectar la IP o algún otro dato que me pueda servir para resolver este problema.

    Gracias de antemano.

    Saludos...

    jueves, 17 de diciembre de 2015 21:47

Respuestas

  • Hola Kahmus, estando permitido el acceso remoto a la red, y además viendo que el bloqueo se produce desde una máquina que no está en el Dominio y no conoces, todo da para pensar que alguien desde afuera está tratando de hacer un acceso no autorizado

    Además lo confirmas, al decir que el bloqueo se produce aún estando tu equipo apagado

    Ahí la única opción, si vale lo que pienso, es renombrar, o por lo menos deshabilitar esa cuenta y que uses una diferente

    Alguien desde afuera, conociendo tu nombre de usuario está tratando de adivinar la contraseña

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Marcado como respuesta Moderador M lunes, 28 de diciembre de 2015 17:07
    sábado, 19 de diciembre de 2015 9:57
    Moderador