Лучший отвечающий
Блокируется аккаунт

Вопрос
-
Добрый день.
Есть один пользователь, у которого каждые 10-14 дней блокируется учетная запись. Попытки выяснить почему это происходит не увенчались успехом. Последний блок был вчера, сейчас учетку уже разблокировали.
Я пробовал использовать Account Lockout Status tools from Microsoft, он показал Bad Pwd Count 1 и время неправильного ввода примерно совпадает с тем временем, когда учетка была заблокирована. Но у нас по политике блокировка происходит после 5 неправильных вводов.
Фильтр событий безопасности по учётке юзера показывает 0 записей и я так понял что в логах безопасности такой результат будет для любой учетки.
Как можно еще отследить события, после которых происходит блокировка?
15 марта 2019 г. 6:47
Ответы
-
В общем всё оказалось немного странно, но просто.
Учетки не блокировались - у них истекал пароль. Несколько недель назад в компании была принудительная смена паролей пользователей и всем принудительно пришлось выставить параметр $PasswordNeverExpires $False. Потому что с ним нельзя одновременно включить User must change password at next logon.
У большинства пользователей после смены пароля дата истечения стала пустой, что может быть равнозначно бессрочному паролю, либо необходимости смены при следующем входе. но у некоторых почему то установилось 29е число этого или следующего месяца. Это странно, потому что вручную задать срок истечения пароля нельзя, только срок действия самой учетной записи.
Разбираться почему так произошло нет времени. Но для решения достаточно просто поставить флаг $PasswordNeverExpires $False.
25 марта 2019 г. 11:00
Все ответы
-
попробуйте Netwrix Account Lockout Examiner15 марта 2019 г. 6:49
-
упомянутой тулзой посмотрите вседующий раз на всех контроллерах информацию если вы это делали только на одном
The opinion expressed by me is not an official position of Microsoft
15 марта 2019 г. 6:58Модератор -
В событиях Security на КД обычно указан источник блокировки, если там фигурирует просто Workstation, то это либо недоменное устройство (например вы к wi-fi подключаетесь на макбуке под доменной УЗ), либо планшет/телефон - это можно проверить в логах ActiveSync/IIS.15 марта 2019 г. 6:59
-
Она сама проверяет на всех доступных контроллерах. Или вы про Netwrix Account Lockout Examiner?
- Изменено Валера2 15 марта 2019 г. 7:08
15 марта 2019 г. 7:06 -
Еще один странный момент в том, что я не вижу события блокировки записи. Событий с кодом 4770 ни на одном КД нет. Событие неправильно ввода пароля только одно.15 марта 2019 г. 7:08
-
Она сама проверяет на всех доступных контроллерах.
что она проверяет?
на каждом кд свой журнал + возможны варианты с синхронизациями кд и локальные параметры тулза читает локально
The opinion expressed by me is not an official position of Microsoft
15 марта 2019 г. 7:09Модератор -
Не похоже что локально. Вот я её запустил со своего рабочего компьютера
Получил список контроллеров и события неправильного ввода. Зашел на первый контроллер и в 15:08:35 нашел событие неверного ввода именно по тому юзеру, с которым есть проблема.
15 марта 2019 г. 7:22 -
1. Какой источник блокировки указан в самом событии?
2. Что у вас с политикой паролей? 2 года назад установлен пароль и не менялся с тех пор? Или это сервисная УЗ?
15 марта 2019 г. 7:39 -
В логах я нашел два события по этому пользователю, в 15:08:35:
1) ID 4776 Credential validation
The computer attempted to validate the credentials for an account.
Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Logon Account: smirnova_e
Source Workstation: DC1
Error Code: 0xC000006A2) ID 4625 Logon
An account failed to log on.
Subject:
Security ID: SYSTEM
Account Name: DC1$
Account Domain: DOMAIN
Logon ID: 0x3E7
Logon Type: 3
Account For Which Logon Failed:
Security ID: NULL SID
Account Name: smirnova_e
Account Domain: DOMAIN
Failure Information:
Failure Reason: Unknown user name or bad password.
Status: 0xC000006D
Sub Status: 0xC000006A
Process Information:
Caller Process ID: 0x1e0
Caller Process Name: C:\Windows\System32\lsass.exe
Network Information:
Workstation Name: DC1
Source Network Address: 10.199.5.2
Source Port: 36543
Detailed Authentication Information:
Logon Process: Advapi
Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Transited Services: -
Package Name (NTLM only): -
Key Length: 0
Кроме этого других сообщений не нашлось. И, как я писал выше, события 4770 (это же событие блока, верно?) в логе нет.
Пароль последний раз меняли 2 года назад. Сейчас еще раз проверил политику блокировки, стоит 0 (изменение было недавно в связи с массовой сменой паролей, раньше стояло 5 попыток). То есть это точно не блокировка из-за неверного ввода.
Остается вариант что кто-то из администраторов зачем то блокирует учетку. Это можно как-то отследить? Вообще может есть смысле повысить уровень логирования или того, что по умолчанию, должно быть достаточно?
- Изменено Валера2 15 марта 2019 г. 8:44
15 марта 2019 г. 8:31 -
В общем всё оказалось немного странно, но просто.
Учетки не блокировались - у них истекал пароль. Несколько недель назад в компании была принудительная смена паролей пользователей и всем принудительно пришлось выставить параметр $PasswordNeverExpires $False. Потому что с ним нельзя одновременно включить User must change password at next logon.
У большинства пользователей после смены пароля дата истечения стала пустой, что может быть равнозначно бессрочному паролю, либо необходимости смены при следующем входе. но у некоторых почему то установилось 29е число этого или следующего месяца. Это странно, потому что вручную задать срок истечения пароля нельзя, только срок действия самой учетной записи.
Разбираться почему так произошло нет времени. Но для решения достаточно просто поставить флаг $PasswordNeverExpires $False.
25 марта 2019 г. 11:00