Usuario
Bloqueo de cuentas de administrador local a través de Escritorio Remoto

Pregunta
-
Buenas, creo que estoy en la sección correcta, os comento mi problema. Tenemos una serie de equipos con Windows xp (sp3) conectados en un dominio. Los equipos pueden acceder correctamente con sus cuentas de dominio y también se puede acceder a ellos con la cuenta de administrador local de la máquina, pero si intentamos acceder a ellos a través de escritorio remoto la cuenta de administrador local nos aparece como bloqueada, teniendo que desbloquearla para poder acceder. Después de habilitar la auditoría de inicio de sesión nos encontramos con el siguiente error:
Como se observa en la imagen los intentos fallidos de inicio de sesión se repiten continuamente. Creemos que puede ser por culpa de algún virus, pero no lo tenemos muy claro. El nombre de usuario varia aleatoriamente entre test, root, user1...
Todas las respuestas
-
Hola Jose,
Te puedo sugerir un par de ideas.
1. Cuando intentas a conectar a su ordenador (con remote desktop) usando la cuenta de local admin, asegurate que pones el nombre de ordenador\localadmin, supongamos que el ordenar se llama computer, pondrias computer\administrator . Si pones solo administrator, el pc va a pensar que estas entrando como administrator del dominion.
2. Hay un ajuste en la politica de seguridad local que puede bloquear usuarios de conectar atraves de remote desktop:
Comprueba alli para ver si la cuenta de local admin esta listada.
Suerte,
-Andrew
-
Hola, gracias por tu respuesta pero eso no es lo que ocurre. Al conectar a remote desktop se hace correctamente (es decir, escribiendo el nombre de la máquina y luego el de usuario). La cuenta local de administrador no se bloquea siempre, sólo se bloquea cuando el equipo está dentro de un dominio y hay una cuenta de administrador del propio dominio. Además la cuenta de administrador sólo se bloquea al intentar entrar con remote desktop. Cuando la cuenta está bloqueada lo que hacemos en entrar a través de la cuenta de administrador de dominio, desbloquear la cuenta local y entonces podemos acceder con remote desktop con la cuenta local, pero al cabo de un tiempo se vuelve a bloquear.
-
-
Hola Daniel,
Tu caso y en el que comentaba Jose Antonio tienen todos los sintomas de un ataque del gusano Win32/Morto.A o alguna variante del mismo.
Revisa el siguiente link donde se explica como minimizar su impacto.
[INFO] Consideraciones sobre Terminal Server y el gusano Win32/Morto.A
http://social.technet.microsoft.com/Forums/es-ES/wstses/thread/e8f947e2-2b43-4c67-986f-f20fc918dd4aUn saludo,
Tomas Hidalgo
Colobora con el foro: Si la respuesta es de utilidad para resolver tu duda/problema, usa la opción "Marcar como repuesta". Otros usuarios con dudas similares -en un futuro- lo agradecerán.