locked
AD-Comptes utilisateurs se vérrouillent RRS feed

  • Question

  • Bonjour,

    Nous avons des serveurs sous Microsoft Azure (AD sous Server 2012 et d'autres serveurs sous 2012 et 2008r2).

    Nous rencontrons des problèmes sur le verrouillage de plusieurs utilisateurs qui sont utilisés sur des taches planifiées et envoies de données par FTP.

    Sur les utilisateurs AD, l'attribut badPwdCount atteint le niveau de blocage. Nous sommes obligés de débloquer les comptes qui utilisent une tache planifiée.
    Lors du lancement manuellement de ces taches, les taches se réalisent correctement.

    Personnellement, je bloque un peu. J'aimerai bien un coup de main pour m'aiguiller.

    Merci bien par avance,

    mercredi 4 avril 2018 15:14

Réponses

  • Bonjour,

    Le verrouillage du compte est dû soit à un mauvais mot de passe ou une application qui utilise un protocole d'authentification non supporté. 

    Pour déterminer depuis quelle machine le compte a été vérouillé,  il faut activer l'audit de sécurité pour les comptes verrouillés via GPO (Audit Account Lockout to audit Success and Failure) sur tout le domaine: 

    Computer Configuration\Windows Settings\Security Settings\Advanced Audit Configuration\Logon/Logoff
    Si l'audit est déjà activé, dans le journal d'événement du PDC vous devriez trouver un événement qui indique depuis quel DC le compte à été verrouillé,ensuite vous vous connectez sur le journal d'événement de ce DC et cherchez l'événement qui contient la machine source qui a provoquer le verrouillage du compte. Une fois le nom de la machine déterminé, vous serez capable de terminer la source du verrouillage (une tâche planifiée, une application , un script...ect)   


    Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/

    mercredi 4 avril 2018 23:06
    Auteur de réponse

Toutes les réponses

  • Bonjour,

    Le verrouillage du compte est dû soit à un mauvais mot de passe ou une application qui utilise un protocole d'authentification non supporté. 

    Pour déterminer depuis quelle machine le compte a été vérouillé,  il faut activer l'audit de sécurité pour les comptes verrouillés via GPO (Audit Account Lockout to audit Success and Failure) sur tout le domaine: 

    Computer Configuration\Windows Settings\Security Settings\Advanced Audit Configuration\Logon/Logoff
    Si l'audit est déjà activé, dans le journal d'événement du PDC vous devriez trouver un événement qui indique depuis quel DC le compte à été verrouillé,ensuite vous vous connectez sur le journal d'événement de ce DC et cherchez l'événement qui contient la machine source qui a provoquer le verrouillage du compte. Une fois le nom de la machine déterminé, vous serez capable de terminer la source du verrouillage (une tâche planifiée, une application , un script...ect)   


    Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/

    mercredi 4 avril 2018 23:06
    Auteur de réponse
  • Bonjour,

    Je vous remercie des conseils que je mets en place aujourd'hui. Je vous ferai une remontée dès les 1er logs de remontés.

    jeudi 5 avril 2018 07:30
  • Bonjour,

    Une autre solution qui se charge de faire le travail pour vous si vous n'avez pas touché à l'audit par défaut :

    https://www.microsoft.com/en-us/download/details.aspx?id=15201

    jeudi 5 avril 2018 09:34
  • Bonjour à vous,

    L'outil "LockoutStatus.exe" n'est pas très stable sur les systèmes actuels.
    J'utilise l'outil de Netwrix (un gratuit aussi) "Account Lockout Examiner", plus stable et simple d'utilisation.

    Pour le blocage des comptes, j'ai été obligé de remettre le réglage par défaut par GPO dans :
    Paramètres de sécurité => Stratégies de comptes/Stratégie de verrouillage du compte => Seuil de verrouillage de comptes
    J'ai passé le réglage à "0".
    Dans les logs, j'avais les identifiants d'événements suivant : 4625 et 4647 en m'informant que la machine utilisé était en MSTSC, très vague pour approfondir la recherche.
    J'ai même recréé un nouvelle utilisateur en l'affectant à une tache et le blocage du compte est arrivé le jour même. Alors que le mot de passe a été créé le jour en question.
    Je ne comprends toujours pas pourquoi ?

    N'hésitez pas à me faire partager de votre expérience pour que je puisse aller plus loin.

    Merci bien par avance, 

    lundi 23 avril 2018 13:35