Conta do AD bloqueando constantemente

Todas as Respostas

• 

  

  0

  Entrar para Votar

  Olá,

  Realize um filtro no eventos de segurança para o ID 644, nele terá o computador que está bloqueando a senha.

  Outro detalhe é que, se algum usuário clicou em salvar a senha, para um impressora, ou pasta compartilhada, com o usuário mencionado, até que seja desfeito o acesso da impressora ou da pasta, a senha errada, ficará tentando autenticar. 

  quinta-feira, 1 de outubro de 2015 19:11

  Responder

  |

  Citação
• 

  

  0

  Entrar para Votar

  Anderson,

  No Windows Server 2008 o ID de conta bloqueada é: 4740

  E consta nos Logs a conta bloqueada mas não mostra de qual computador veio o bloqueio.

  Att!

  ---

  Daniel Gimenes Violin - Analista de Suporte / CCNA / Bacharel em Ciência da Computação e MBA em Gestão de TI

  quinta-feira, 1 de outubro de 2015 19:54

  Responder

  |

  Citação
• 

  

  0

  Entrar para Votar

  Amigo,

  Se você abrir um dos logs de evento, a informação em qual o desktop a conta está bloqueada, está no fim da tela.

  
  

  • Editado Anderson-Machado quinta-feira, 1 de outubro de 2015 20:34
  • Sugerido como Resposta Carlos.ss quinta-feira, 1 de outubro de 2015 20:56
  • Não Sugerido como Resposta Daniel Gimenes Violin sexta-feira, 2 de outubro de 2015 10:44

  quinta-feira, 1 de outubro de 2015 20:32

  Responder

  |

  Citação
• 

  

  0

  Entrar para Votar

  O evento 4740 pode não conter o computador de onde o bloqueio foi originado e isso é algo completamente normal, pois essa informação depende do tipo de método que foi utilizado no momento da autenticação entre a origem do bloqueio e o DC.

  Se o campo Caller Computer está vazio, minha recomendação é você verifique todos os recursos que são utilizados pelo usuário onde ele precisa informar seu usuário e senha de domínio. Este tipo de comportamento pode ser resultado da senha ter sido salva em:

  • Aplicações Java.
  • Appliances de rede que rodam distros Linux.
  • Proxys baseados em Linux.
  • Dispositivos moveis.
  • Etc.

  sexta-feira, 2 de outubro de 2015 00:42

  Responder

  |

  Citação
• 

  

  0

  Entrar para Votar

  Bom dia Anderson,
  
  Legal, porém você conhece alguma forma ou software onde eu consiga ter mais detalhes?
  
  Att.

  ---

  Daniel Gimenes Violin - Analista de Suporte / CCNA / Bacharel em Ciência da Computação e MBA em Gestão de TI

  sexta-feira, 2 de outubro de 2015 12:23

  Responder

  |

  Citação
• 

  

  1

  Entrar para Votar

  Quando um usuário negocia suas credenciais de acesso com um DC, eventos do tipo 4624 são registrados no DC e nestes eventos há um campo do atributo Message cujo nome é Source Network Address.

  Pode ser o caso de verificar os eventos relacionados a conta que está bloqueando e analisar os endereços que aparecem.

  Get-WinEvent -LogName Security -FilterXPath "*/System/EventID=4624" | ? {$_.Properties[5].Value -eq "SAMAccountName"} | fl Message

  
  

  • Sugerido como Resposta Cristopher C I_ sexta-feira, 2 de outubro de 2015 13:12
  • Editado 4HorsemenOfDaIT sexta-feira, 2 de outubro de 2015 14:22

  sexta-feira, 2 de outubro de 2015 12:52

  Responder

  |

  Citação
• 

  

  0

  Entrar para Votar

  Ótima dica, mas infelizmente não tive nenhum resultado quando busquei pelo usuário.
  Sem usuário tem mais de 9 mil resultados.

  Att.

  ---

  Daniel Gimenes Violin - Analista de Suporte / CCNA / Bacharel em Ciência da Computação e MBA em Gestão de TI

  sexta-feira, 2 de outubro de 2015 13:24

  Responder

  |

  Citação
• 

  

  1

  Entrar para Votar

  Se o comando que eu passei após ser executado a partir do DC não retornou resultado algum é por que você está fazendo alguma coisa errada. Impossível ele não retornar nenhum evento 4624 dentro de 9000 eventos se o usuário estiver autenticado no AD DS.

  Coloque aqui imagens do que você está fazendo.

  sexta-feira, 2 de outubro de 2015 13:40

  Responder

  |

  Citação
• 

  

  0

  Entrar para Votar

  Se eu busco pelo ID + Nome do Usuário não tenho nenhum resultado.

  Se eu busco apenas pelo ID tenho mais de 9 mil resultados.
  
  Segue abaixo:

  

  

  ---

  Daniel Gimenes Violin - Analista de Suporte / CCNA / Bacharel em Ciência da Computação e MBA em Gestão de TI

  sexta-feira, 2 de outubro de 2015 13:48

  Responder

  |

  Citação
• 

  

  1

  Entrar para Votar

  O comando que eu coloquei anteriormente não está lá somente para ocupar espaço na thread. Abra o Windows PowerShell como Administrator, copie/cole e execute-o.

  O campo onde o SAMAccountName precisa ser verificado não pode ser encontrado usando este tipo de filtro, somente através da guia XML e com a sintaxe correta.

  sexta-feira, 2 de outubro de 2015 14:20

  Responder

  |

  Citação
• 

  

  0

  Entrar para Votar

  Desculpe Anderson,

  Mas como informei anteriormente meu AD não está no R2 devido a compatibilidade com software de terceiros, por isso não tem o PowerShell, e nem podemos instalar, por isso realizei o mesmo processo no EventViewer.

  Então não vejo como descobrir mais nada com essa versão do AD, certo?

  ---

  Daniel Gimenes Violin - Analista de Suporte / CCNA / Bacharel em Ciência da Computação e MBA em Gestão de TI

  sexta-feira, 2 de outubro de 2015 14:36

  Responder

  |

  Citação
• 

  

  1

  Entrar para Votar

  

  sexta-feira, 2 de outubro de 2015 14:48

  Responder

  |

  Citação
• 

  

  0

  Entrar para Votar

  Obrigado Anderson, mas infelizmente não vem nenhum resultado.

  ---

  Daniel Gimenes Violin - Analista de Suporte / CCNA / Bacharel em Ciência da Computação e MBA em Gestão de TI

  sexta-feira, 2 de outubro de 2015 16:45

  Responder

  |

  Citação
• 

  

  1

  Entrar para Votar

  Se a query acima não retornou nenhum resultado, você continua fazendo alguma coisa errada. A query funciona perfeitamente no Windows Server 2008, 2008 R2, 2012, 2012 R2 e Windows Server 2016 Preview.

  sexta-feira, 2 de outubro de 2015 17:23

  Responder

  |

  Citação
• 

  

  0

  Entrar para Votar

  Está igual ao exemplo que você postou.

  <QueryList>
    <Query Id="0" Path="Security">
      <Select Path="Security">*[System/EventID=4624 and (EventData/Data[@Name='TargetUserName']='SAMAccountName')]</Select>
    </Query>
  </QueryList>

  
  E testei também mudando onde está SAMAccountName para o nome do usuário e não trouxe nenhum resultado.
  

  
  

  ---

  Daniel Gimenes Violin - Analista de Suporte / CCNA / Bacharel em Ciência da Computação e MBA em Gestão de TI

  sexta-feira, 2 de outubro de 2015 17:32

  Responder

  |

  Citação
• 

  

  1

  Entrar para Votar

  SAMAccountName é nome do atributo do AD relacionado a conta de usuário cujo valor deve ser informado na consulta XML, ele não parte da consulta.

  Se você alterou para o nome do usuário e também não funcionou, você não informou o SAMAccountName corretamente, pois somente se não houvessem eventos disponíveis a query não retornaria nada e eu acho pouco provável isto.

  Verifique qual é o SAMAccountName correto da conta.

  dsget user "CN=Mike Danseglio, CN=Users,DC=MS,DC=tld" -samid

  
  

  
  

  • Editado 4HorsemenOfDaIT sexta-feira, 2 de outubro de 2015 18:38
  • Marcado como Resposta Cristopher C I_ terça-feira, 6 de outubro de 2015 19:23

  sexta-feira, 2 de outubro de 2015 17:54

  Responder

  |

  Citação
• 

  

  0

  Entrar para Votar

  Legal, agora trouxe informações, porém hoje a conta não bloqueou nenhuma vez, vou esperar até amanhã para ver se terá bloqueio.

  Anderson, muito obrigado pelas dicas e pela paciência!

  ---

  Daniel Gimenes Violin - Analista de Suporte / CCNA / Bacharel em Ciência da Computação e MBA em Gestão de TI

  sexta-feira, 2 de outubro de 2015 18:30

  Responder

  |

  Citação