none
Блокировка уч записи по непонятной причине

    Вопрос

  • Добрый день. У нас каким то образом блокируются уч записи некоторых пользователей с постоянством примерно кажд 3 часа, в фоновом режиме. По одной из версий у нас есть некоторые программы в которых настроена сквозная аутентификация (делалось до меня и без меня программистами нашей компании) и эти приложения типа лезут со старым паролем, после чего блокируется учетка. Первый вопрос, можно ли как то временно обойти это, не увеличивая порог блокировки уч записи (потому что было 5 стало 15 -все равно в итоге заблокируется). Второй вопрос: Если возможность отследить, какое приложение провально пытается аутентифицироваться на домен-контроллере? (есть идея настроить wireshark чем сейчас и займусь).
    8 ноября 2018 г. 12:39

Ответы

  • По событию 4740 на контроллере домена с ролью PDC можно найти компьютер - источник блокировки.

    Затем, включив аудит событий на найденном компьютере можно определить процесс, который вызывает блокировку. Посмотрите мануал.

    • Помечено в качестве ответа ole-van-de 9 ноября 2018 г. 11:09
    9 ноября 2018 г. 4:23
  • Статья хорошая, добавлю лишь что 4740 нужно парсить на всех КД, не только PDC.
    • Помечено в качестве ответа ole-van-de 9 ноября 2018 г. 11:10
    9 ноября 2018 г. 6:01
  • посмотрите в sysinternals tools есть тулза для проверки заблоченных учетоко которая показывает на какой машине проблема а дальше можете ее изолировать и ломать вне сети не блокируя при этом работу

    второй вариант сменить логин для проблемной уз


    The opinion expressed by me is not an official position of Microsoft

    • Помечено в качестве ответа ole-van-de 9 ноября 2018 г. 11:09
    8 ноября 2018 г. 12:55
    Модератор

Все ответы

  • посмотрите в sysinternals tools есть тулза для проверки заблоченных учетоко которая показывает на какой машине проблема а дальше можете ее изолировать и ломать вне сети не блокируя при этом работу

    второй вариант сменить логин для проблемной уз


    The opinion expressed by me is not an official position of Microsoft

    • Помечено в качестве ответа ole-van-de 9 ноября 2018 г. 11:09
    8 ноября 2018 г. 12:55
    Модератор
  • По событию 4740 на контроллере домена с ролью PDC можно найти компьютер - источник блокировки.

    Затем, включив аудит событий на найденном компьютере можно определить процесс, который вызывает блокировку. Посмотрите мануал.

    • Помечено в качестве ответа ole-van-de 9 ноября 2018 г. 11:09
    9 ноября 2018 г. 4:23
  • Статья хорошая, добавлю лишь что 4740 нужно парсить на всех КД, не только PDC.
    • Помечено в качестве ответа ole-van-de 9 ноября 2018 г. 11:10
    9 ноября 2018 г. 6:01