none
Bloqueio de contas do AD aleatoriamente RRS feed

  • Pergunta

  • Boa tarde companheiros,

    Estou me deparando com esse problema e esta gerando um tremendo retrabalho. Uso na minha infraestrutura ADDS com o Windows Server 2016 e constantemente recebo pedidos para desbloquear contas de usuários, mesmo a regra da GPO que aplica para todos os usuários esta desativada no momento. Antes estava habilitado para bloquear apos 5 vezes digitado errado. Como preferi desbloquear essa opcao, mesmo assim diversas contas aparecem bloqueadas mesmo a pessoa não errar a senha, um exemplo é o meu usuario, que de vez em quando aparece bloqueada mesmo eu ter certeza que não digitei errado.

    Outro bloqueio que gostaria que não existisse é das contas de computadore, existe alguma configuração que bloqueia contas de computadores por inatividade, não sei onde vejo onde mudar essa regra.

    Alguem poderia me ajudar?


    sexta-feira, 24 de abril de 2020 19:29

Respostas

  • Carlos,

    Procura o Netwrix Auditor Account, ele é free.

    Com ele você vai ver quem está gerando o bloqueio da conta e resolver o a raiz do problema.

    Quanto a bloqueio da conta do computador, geralmente esse bloqueio e remoção se da de maneira manual, então seria interessante colocar qual o comportamento que se apresenta para avaliar.


    IT Specialyst | Azure Administrator | MCSE Core Infrastrucuture | MCSE Produtivity | VCP6-DCV | Commvault Professional | MBA | Se a resposta for útil, marque! | If the answer is helpfull, check!

    sexta-feira, 24 de abril de 2020 21:37
    Moderador
  • Olá caro @Carlos Lima, tudo bem!

    [Abaixo deixamos dicas Preciosas, tanto teoria e prática AO VIVO]

    • https://www.youtube.com/watch?v=X1siiW7rkE8&feature=youtu.be
    • https://www.youtube.com/playlist?list=PLDwiunGcJY_3WOwmcyQRbRan_AJERte98
    • https://www.youtube.com/playlist?list=PLDwiunGcJY_3Sd3TwsG-qqY6yvxdePQI3

    Este artigo detalha os passos para habilitar o log do serviço Netlogon no Windows para monitorar ou para solucionar problemas de autenticação, localizador de DC, o bloqueio de conta ou outros problemas relacionados à comunicação de domínio.

    Isso muitas das vezes é o nosso grande Calcanhar de Aquiles dentro da rede, através desse do procedimento abaixo a busca por essas informações ficam muito mais exatas e fáceis de identificar.

    Esse método contém etapas que informam sobre como modificar o registro. No entanto, sérios problemas poderão ocorrer caso você modifique o registro incorretamente. Portanto, certifique-se de seguir estes passos cuidadosamente. Para obter mais proteção, faça backup do registro antes de modificá-lo. Em seguida, você poderá restaurar o registro caso ocorra um problema.

    Passo1 (Habilitar o log de logon de rede)

    1. Abra uma janela de Prompt de comando (janela de Prompt de comando administrativa para Windows Server 2008 e versões posteriores).
    2. Digite o seguinte comando e pressione Enter:Nltest /DBFlag:2080FFFF
    3. Normalmente não é necessário interromper e reiniciar o serviço Netlogon para o Windows 2000 Server/Professional ou sistemas operacionais posteriores ao habilitar registro do Netlogon. Atividade de logon de rede está conectada a % windir%\debug\netlogon.log. Verificar novas gravações para esse log para determinar se é necessário reiniciar o serviço Netlogon. Se você tiver que reiniciar o serviço, abra uma janela de Prompt de comando (janela de Prompt de comando administrativa para Windows Server 2008/Windows Vista e versões posteriores do sistema operacional) e, em seguida, execute os seguintes comandos:

    net stop netlogon

    net start netlogon

    Observações:

      • Em algumas circunstâncias, você terá que realizar uma autenticação contra o sistema para obter uma nova entrada no log para verificar se o log está ativado. Qualquer tentativa de conexão pode ser feita ao se conectar à \ \\c$
      • Usar o nome do computador não pode causar nenhuma nova entrada de autenticação de teste devem ser registrados.

    Passo2 (Desabilitar o log de logon de rede)

    1. Abra uma janela de Prompt de comando (administrativa janela Prompt de comando para o Windows Server 2008 e posterior).
    2. Digite o seguinte comando e pressione Enter: Nltest /DBFlag:0x0
    3. Exemplo de como é visto o log dentro do arquivo netlogon.log

    

    Interessante desabilitar, pois, o log fica muito grande e difícil de visualizar.

    Grande abraço FOL!!!


    • Sugerido como Resposta FÁBIOFOL sábado, 25 de abril de 2020 17:12
    • Marcado como Resposta Carlos Lima terça-feira, 28 de abril de 2020 11:15
    sábado, 25 de abril de 2020 17:12

Todas as Respostas

  • Carlos,

    Procura o Netwrix Auditor Account, ele é free.

    Com ele você vai ver quem está gerando o bloqueio da conta e resolver o a raiz do problema.

    Quanto a bloqueio da conta do computador, geralmente esse bloqueio e remoção se da de maneira manual, então seria interessante colocar qual o comportamento que se apresenta para avaliar.


    IT Specialyst | Azure Administrator | MCSE Core Infrastrucuture | MCSE Produtivity | VCP6-DCV | Commvault Professional | MBA | Se a resposta for útil, marque! | If the answer is helpfull, check!

    sexta-feira, 24 de abril de 2020 21:37
    Moderador
  • Grande Ferando, obrigado pela resposta. Vou baixar o programa e verificar o que esta acontecendo com as contas de usuários. 

    Quanto as contas de computadores, bloqueia por inatividade, por exemplo, a diretora financeira ficou ausente pouco mais de 1 semana, e deparei com a conta do computador desativada, isso é alguma configuração no AD? Eu realmente não sei onde posso verificar essa informação.

    Peguei uma infraestrutura ja pronta, onde tenho pouco mais de 100 computadores na matriz, fora algumas filiais que estao tmb integrados ao msm GC, e essas inconformidades estão gerando um retrabalho que esta mais atrapalhando do que ajudando.

    Muito obrigado mais uma vez!

    sábado, 25 de abril de 2020 12:11
  • Olá caro @Carlos Lima, tudo bem!

    [Abaixo deixamos dicas Preciosas, tanto teoria e prática AO VIVO]

    • https://www.youtube.com/watch?v=X1siiW7rkE8&feature=youtu.be
    • https://www.youtube.com/playlist?list=PLDwiunGcJY_3WOwmcyQRbRan_AJERte98
    • https://www.youtube.com/playlist?list=PLDwiunGcJY_3Sd3TwsG-qqY6yvxdePQI3

    Este artigo detalha os passos para habilitar o log do serviço Netlogon no Windows para monitorar ou para solucionar problemas de autenticação, localizador de DC, o bloqueio de conta ou outros problemas relacionados à comunicação de domínio.

    Isso muitas das vezes é o nosso grande Calcanhar de Aquiles dentro da rede, através desse do procedimento abaixo a busca por essas informações ficam muito mais exatas e fáceis de identificar.

    Esse método contém etapas que informam sobre como modificar o registro. No entanto, sérios problemas poderão ocorrer caso você modifique o registro incorretamente. Portanto, certifique-se de seguir estes passos cuidadosamente. Para obter mais proteção, faça backup do registro antes de modificá-lo. Em seguida, você poderá restaurar o registro caso ocorra um problema.

    Passo1 (Habilitar o log de logon de rede)

    1. Abra uma janela de Prompt de comando (janela de Prompt de comando administrativa para Windows Server 2008 e versões posteriores).
    2. Digite o seguinte comando e pressione Enter:Nltest /DBFlag:2080FFFF
    3. Normalmente não é necessário interromper e reiniciar o serviço Netlogon para o Windows 2000 Server/Professional ou sistemas operacionais posteriores ao habilitar registro do Netlogon. Atividade de logon de rede está conectada a % windir%\debug\netlogon.log. Verificar novas gravações para esse log para determinar se é necessário reiniciar o serviço Netlogon. Se você tiver que reiniciar o serviço, abra uma janela de Prompt de comando (janela de Prompt de comando administrativa para Windows Server 2008/Windows Vista e versões posteriores do sistema operacional) e, em seguida, execute os seguintes comandos:

    net stop netlogon

    net start netlogon

    Observações:

      • Em algumas circunstâncias, você terá que realizar uma autenticação contra o sistema para obter uma nova entrada no log para verificar se o log está ativado. Qualquer tentativa de conexão pode ser feita ao se conectar à \ \\c$
      • Usar o nome do computador não pode causar nenhuma nova entrada de autenticação de teste devem ser registrados.

    Passo2 (Desabilitar o log de logon de rede)

    1. Abra uma janela de Prompt de comando (administrativa janela Prompt de comando para o Windows Server 2008 e posterior).
    2. Digite o seguinte comando e pressione Enter: Nltest /DBFlag:0x0
    3. Exemplo de como é visto o log dentro do arquivo netlogon.log

    

    Interessante desabilitar, pois, o log fica muito grande e difícil de visualizar.

    Grande abraço FOL!!!


    • Sugerido como Resposta FÁBIOFOL sábado, 25 de abril de 2020 17:12
    • Marcado como Resposta Carlos Lima terça-feira, 28 de abril de 2020 11:15
    sábado, 25 de abril de 2020 17:12
  • Fabio,

    Muito obrigado pela resposta. Irei assistir os videos enviados para entender melhor a infraestrutura AD. 


    segunda-feira, 27 de abril de 2020 12:14