none
Conta do AD bloqueando constantemente RRS feed

  • Pergunta

  • Boa tarde pessoal,

    Tenho um AD com Windows Server 2008 (Devido a softwares de terceiros onde não são compatíveis com o R2), mas este não é o caso.

    Desde semana passada a conta de um usuário (Analista de Suporte da Empresa) está bloqueando loucamente a cada segundo, e no Event Viewer do Windows Server mostra que a conta foi bloqueada porém não mostra a origem do bloqueio (Nome do Computador).

    Já isolamos o computador do usuário (Desligamos) e mesmo assim a conta continuou a ser bloqueada. A equipe de TI chegou a formatar o computador e nada. (resumindo não acredito que o problema esteja no micro do usuário).

    Existe alguma ferramenta onde entregue mais detalhes que o Event Viewer do Windows Server? ou alguma forma de descobrir a origem do bloqueio?

    Desde já agradeço!

    Atenciosamente!


    Daniel Gimenes Violin - Analista de Suporte / CCNA / Bacharel em Ciência da Computação e MBA em Gestão de TI

    quinta-feira, 1 de outubro de 2015 18:26

Respostas

  • SAMAccountName é nome do atributo do AD relacionado a conta de usuário cujo valor deve ser informado na consulta XML, ele não parte da consulta.

    Se você alterou para o nome do usuário e também não funcionou, você não informou o SAMAccountName corretamente, pois somente se não houvessem eventos disponíveis a query não retornaria nada e eu acho pouco provável isto.

    Verifique qual é o SAMAccountName correto da conta.

    dsget user "CN=Mike Danseglio, CN=Users,DC=MS,DC=tld" -samid


    sexta-feira, 2 de outubro de 2015 17:54

Todas as Respostas

  • Olá,

    Realize um filtro no eventos de segurança para o ID 644, nele terá o computador que está bloqueando a senha.

    Outro detalhe é que, se algum usuário clicou em salvar a senha, para um impressora, ou pasta compartilhada, com o usuário mencionado, até que seja desfeito o acesso da impressora ou da pasta, a senha errada, ficará tentando autenticar. 

    quinta-feira, 1 de outubro de 2015 19:11
  • Anderson,

    No Windows Server 2008 o ID de conta bloqueada é: 4740

    E consta nos Logs a conta bloqueada mas não mostra de qual computador veio o bloqueio.

    Att!


    Daniel Gimenes Violin - Analista de Suporte / CCNA / Bacharel em Ciência da Computação e MBA em Gestão de TI

    quinta-feira, 1 de outubro de 2015 19:54
  • Amigo,

    Se você abrir um dos logs de evento, a informação em qual o desktop a conta está bloqueada, está no fim da tela.


    • Editado Anderson-Machado quinta-feira, 1 de outubro de 2015 20:34
    • Sugerido como Resposta Carlos.ss quinta-feira, 1 de outubro de 2015 20:56
    • Não Sugerido como Resposta Daniel Gimenes Violin sexta-feira, 2 de outubro de 2015 10:44
    quinta-feira, 1 de outubro de 2015 20:32
  • O evento 4740 pode não conter o computador de onde o bloqueio foi originado e isso é algo completamente normal, pois essa informação depende do tipo de método que foi utilizado no momento da autenticação entre a origem do bloqueio e o DC.

    Se o campo Caller Computer está vazio, minha recomendação é você verifique todos os recursos que são utilizados pelo usuário onde ele precisa informar seu usuário e senha de domínio. Este tipo de comportamento pode ser resultado da senha ter sido salva em:

    • Aplicações Java.
    • Appliances de rede que rodam distros Linux.
    • Proxys baseados em Linux.
    • Dispositivos moveis.
    • Etc.

    sexta-feira, 2 de outubro de 2015 00:42
  • Bom dia Anderson,

    Legal, porém você conhece alguma forma ou software onde eu consiga ter mais detalhes?

    Att.


    Daniel Gimenes Violin - Analista de Suporte / CCNA / Bacharel em Ciência da Computação e MBA em Gestão de TI

    sexta-feira, 2 de outubro de 2015 12:23
  • Quando um usuário negocia suas credenciais de acesso com um DC, eventos do tipo 4624 são registrados no DC e nestes eventos há um campo do atributo Message cujo nome é Source Network Address.

    Pode ser o caso de verificar os eventos relacionados a conta que está bloqueando e analisar os endereços que aparecem.

    Get-WinEvent -LogName Security -FilterXPath "*/System/EventID=4624" | ? {$_.Properties[5].Value -eq "SAMAccountName"} | fl Message

    sexta-feira, 2 de outubro de 2015 12:52
  • Ótima dica, mas infelizmente não tive nenhum resultado quando busquei pelo usuário.
    Sem usuário tem mais de 9 mil resultados.

    Att.


    Daniel Gimenes Violin - Analista de Suporte / CCNA / Bacharel em Ciência da Computação e MBA em Gestão de TI

    sexta-feira, 2 de outubro de 2015 13:24
  • Se o comando que eu passei após ser executado a partir do DC não retornou resultado algum é por que você está fazendo alguma coisa errada. Impossível ele não retornar nenhum evento 4624 dentro de 9000 eventos se o usuário estiver autenticado no AD DS.

    Coloque aqui imagens do que você está fazendo.

    sexta-feira, 2 de outubro de 2015 13:40
  • Se eu busco pelo ID + Nome do Usuário não tenho nenhum resultado.

    Se eu busco apenas pelo ID tenho mais de 9 mil resultados.

    Segue abaixo:


    Daniel Gimenes Violin - Analista de Suporte / CCNA / Bacharel em Ciência da Computação e MBA em Gestão de TI

    sexta-feira, 2 de outubro de 2015 13:48
  • O comando que eu coloquei anteriormente não está lá somente para ocupar espaço na thread. Abra o Windows PowerShell como Administrator, copie/cole e execute-o.

    O campo onde o SAMAccountName precisa ser verificado não pode ser encontrado usando este tipo de filtro, somente através da guia XML e com a sintaxe correta.

    sexta-feira, 2 de outubro de 2015 14:20
  • Desculpe Anderson,

    Mas como informei anteriormente meu AD não está no R2 devido a compatibilidade com software de terceiros, por isso não tem o PowerShell, e nem podemos instalar, por isso realizei o mesmo processo no EventViewer.

    Então não vejo como descobrir mais nada com essa versão do AD, certo?


    Daniel Gimenes Violin - Analista de Suporte / CCNA / Bacharel em Ciência da Computação e MBA em Gestão de TI

    sexta-feira, 2 de outubro de 2015 14:36
  • sexta-feira, 2 de outubro de 2015 14:48
  • Obrigado Anderson, mas infelizmente não vem nenhum resultado.


    Daniel Gimenes Violin - Analista de Suporte / CCNA / Bacharel em Ciência da Computação e MBA em Gestão de TI

    sexta-feira, 2 de outubro de 2015 16:45
  • Se a query acima não retornou nenhum resultado, você continua fazendo alguma coisa errada. A query funciona perfeitamente no Windows Server 2008, 2008 R2, 2012, 2012 R2 e Windows Server 2016 Preview.
    sexta-feira, 2 de outubro de 2015 17:23
  • Está igual ao exemplo que você postou.

    <QueryList>
      <Query Id="0" Path="Security">
        <Select Path="Security">*[System/EventID=4624 and (EventData/Data[@Name='TargetUserName']='SAMAccountName')]</Select>
      </Query>
    </QueryList>

    E testei também mudando onde está SAMAccountName para o nome do usuário e não trouxe nenhum resultado.



    Daniel Gimenes Violin - Analista de Suporte / CCNA / Bacharel em Ciência da Computação e MBA em Gestão de TI

    sexta-feira, 2 de outubro de 2015 17:32
  • SAMAccountName é nome do atributo do AD relacionado a conta de usuário cujo valor deve ser informado na consulta XML, ele não parte da consulta.

    Se você alterou para o nome do usuário e também não funcionou, você não informou o SAMAccountName corretamente, pois somente se não houvessem eventos disponíveis a query não retornaria nada e eu acho pouco provável isto.

    Verifique qual é o SAMAccountName correto da conta.

    dsget user "CN=Mike Danseglio, CN=Users,DC=MS,DC=tld" -samid


    sexta-feira, 2 de outubro de 2015 17:54
  • Legal, agora trouxe informações, porém hoje a conta não bloqueou nenhuma vez, vou esperar até amanhã para ver se terá bloqueio.

    Anderson, muito obrigado pelas dicas e pela paciência!


    Daniel Gimenes Violin - Analista de Suporte / CCNA / Bacharel em Ciência da Computação e MBA em Gestão de TI

    sexta-feira, 2 de outubro de 2015 18:30