none
Verouillage du compte

    Question

  • Bonjour,

    Depuis quelques jours j'ai un compte AD qui se verrouillent tout seul, très rapidement.

    Le truc c'est lorsque tu verrouilles la session , tu ne peux pas la déverrouiller , un message d'erreur qui s'affiche pour informer  le compte est verrouillé 

    Des fois je le déverrouille de l'AD et il reste bloqué la session. 

    Merci


    mardi 7 novembre 2017 13:34

Réponses

  • Le compte ne peut se verrouiller que s'il y a des erreurs d'authentification en aucun cas lors du verrouillage de la session.

    Si les même identifiants sont utilisés dans un service, une séquence de tâche ou ailleurs cela peut être à l'origine.

    La réponse se trouve en général dans l'observateur d'événement dans le journal sécurité sur un DC en fonction des paramètres d'audit.

    mercredi 8 novembre 2017 12:00
    Modérateur
  • Comme je vous le disais précédement et comme Philippe vous l'indique, vous avez une authentification qui échoue à répétition. Il faut regarder sur le DC pour identifer quelle(s) machine(s) est(sont) à la source du problème.


    mercredi 8 novembre 2017 12:52

Toutes les réponses

  • Premièrement, si le compte est verrouillé lorsque tu verrouilles la session, c'est parce qu'en fait il est déjà verrouillé sur le domaine : comme ton token Kerboeros est toujours valide ce n'est qu'à la reprise de session qu'une GPO a dut être paramétrée pour forcer la validation du token: le compte étant verrouillée, tu ne peux plus ouvrir la session puisque le token est refusé.

    Deuxièmement, déverrouiller un compte ne veut pas dire que tous les DC du domaine reçoivent l'information à l'instant: suivant les latences de réplications, cela peut prendre de quelques minutes à plusieurs heures. Par conséquent, il faut déverrouiller le compte sur le DC du site de l'ordinateur (ou sur les DC de ce site).

    Enfin, un compte qui se verrouille comme cela, moi je serai plutôt inquiet : soit il y a une attaque en brute force pour découvrir le mot de passe, soit il y a une application ou un script en tâche planifiée qui contient un mauvais mot de passe ou utilise un protocole interdit (par exemple du NTLM). Dans tous les cas, je serai plutôt inquiet et je mettrais tout de suite ce compte en disable pour entamer un forensic sur la root cause de ce verrouillage.


    mardi 7 novembre 2017 21:01
  • Verrouillé une session n'a jamais verrouillé le compte dans l'AD. Si le compte est verrouillé cela vient d'erreur d'authentification.

    Si l'audit est activé il est possible de retrouver les éléments dans le journal de sécurité.

    http://pbarth.fr/node/136

    mardi 7 novembre 2017 21:20
    Modérateur
  • Bonjour,

    Lorsque je prend un pause je tape  (Drapeau+L) pour verrouiller la session , après mon retour je ne peux pas ré- accéder je ne peux pas à se loguer. le compte est verrouillé.

    Ce problème est rencontré seulement avec un utilisateur et pas avec tous.

    Cordialement

    mercredi 8 novembre 2017 06:49
  • Le verrouillage du compten'a pas de lien avec le verrouillage de la session ...

    Le compte est verrouillé si le nombre de tentatives d'authentification en echec atteint le seuil.

    Une blague d'un collègue ?

     

    mercredi 8 novembre 2017 09:34
    Modérateur
  • Bonjour ,

    Pas du tout ,en fait sans taper le mot de passe pour déverrouiller la session , je trouve le compte verrouillé dans AD.

    Nous avons un compte Outlook (Exchange ) qui utilise le même password , aussi , pour accéder à internet   , il faut s'authentifier via le browser pour passer  le proxy

    Cdt;


    mercredi 8 novembre 2017 09:55
  • Le compte ne peut se verrouiller que s'il y a des erreurs d'authentification en aucun cas lors du verrouillage de la session.

    Si les même identifiants sont utilisés dans un service, une séquence de tâche ou ailleurs cela peut être à l'origine.

    La réponse se trouve en général dans l'observateur d'événement dans le journal sécurité sur un DC en fonction des paramètres d'audit.

    mercredi 8 novembre 2017 12:00
    Modérateur
  • Comme je vous le disais précédement et comme Philippe vous l'indique, vous avez une authentification qui échoue à répétition. Il faut regarder sur le DC pour identifer quelle(s) machine(s) est(sont) à la source du problème.


    mercredi 8 novembre 2017 12:52