none
Массовая блокировка учетных записей в Active Directory RRS feed

  • Общие обсуждения

  • Всем привет! Подскажите пожалуйста, со вчерашнего дня вся компания стоит и не может работать, все учетные записи в AD начали блокироваться, разблокировка спасает минут на 10-15, потом учетка блокируется опять... Мы думали это вирус, но касперский молчит, все чисто, думали это кидо но его тоже нет.

    Подскажите, что это может быть? Как искать? Как искоренять. Умираем и не можем работать...

    • Изменен тип Vinokurov YuriyModerator 25 августа 2010 г. 6:16 давность и отсутствие активности в теме
    4 августа 2010 г. 6:05

Все ответы

  • Включите аудит управления учетными записями в Default domain controller policy и ищите в логах security события блокировки УЗ за номером 644

    Там указано имя компьютера с которого идет блокирование

    4 августа 2010 г. 6:29
    Отвечающий
  • Спасибо, но простите за глупый вопрос. Как и где включить этот аудит???
    4 августа 2010 г. 6:31
  • ИМХО. Проверять ещё. Воспользоваться Кидо Киллером. Это поведение, с очень высокой степенью вероятности вызвано именно вирусом. 

    http://okrylov.wordpress.com/2009/01/14/kido/#more-101


    In pivo veritas... t.G. - испокон и вовеки. Want to believe... It's a magic...
    4 августа 2010 г. 6:38
  •  в Default domain controller policy

     Computer Configuration > Windows Settings > Local policies > Audit Policy

    Audit account management    включаете галки success, failure

    4 августа 2010 г. 6:39
    Отвечающий
  • Спасибо, но простите за глупый вопрос. Как и где включить этот аудит???


    В (Default) Domain Controler Policy: Конфигурация комп-ра->конфигурация Windows->параметры безопасности->локальные политики->политика аудита(поставить параметры)

    После gpupdate /force для более быстрого применения.

    4 августа 2010 г. 6:40
  • Все включил, даже ребутнулся, учетки продолжают блокироваться, кидо киллер последний с каспер сайта молчит. А учетки так и блочятся, евента 644 нету, полно 560 562 577 576 680 и.т.д. а вот 644 нету((( учетки все так же и блокируются(((
    4 августа 2010 г. 7:02
  • Все включил, даже ребутнулся, учетки продолжают блокироваться, кидо киллер последний с каспер сайта молчит. А учетки так и блочятся, евента 644 нету, полно 560 562 577 576 680 и.т.д. а вот 644 нету((( учетки все так же и блокируются(((


    Вам нужно событие 644 искать в логах security на всех КД

    Также запустите на КД остнастку rsop.msc - посмотрите применилась ли политика

    4 августа 2010 г. 7:07
    Отвечающий
  • Странно, запускаю rsop.msc открываю win settings - security - local policy - audit policy а там все проставлено в not defined не понимаю как так
    4 августа 2010 г. 7:11
  • Странно, запускаю rsop.msc открываю win settings - security - local policy - audit policy а там все проставлено в not defined не понимаю как так

    Где и как правили политику, расскажите подробнее, по шагам
    4 августа 2010 г. 7:14
    Отвечающий
  • сделал run cmd ввел mmc добавил оснастку group policy objectedition и там уже  Computer Configuration > Windows Settings > Local policies > Audit Policy причет захожу как описал щас все вижу, все проставлено а через rcop.msc везде not deffine
    4 августа 2010 г. 7:26
  • сделал run cmd ввел mmc добавил оснастку group policy objectedition и там уже  Computer Configuration > Windows Settings > Local policies > Audit Policy причет захожу как описал щас все вижу, все проставлено а через rcop.msc везде not deffine

    Какое название политики, в которую внесли изменение? Нужно именно в политику контроллера домена.
    4 августа 2010 г. 7:30
  • сделал run cmd ввел mmc добавил оснастку group policy objectedition и там уже  Computer Configuration > Windows Settings > Local policies > Audit Policy причет захожу как описал щас все вижу, все проставлено а через rcop.msc везде not deffine


    Установите на КД group policy management console http://www.microsoft.com/downloads/details.aspx?FamilyID=0a6d4c24-8cbd-4b35-9272-dd3cbfc81887&displaylang=en

    Запустите эту консоль, там найдите  Default domain controller policy и настройте параметры политики, о которых я говорил выше

     

    4 августа 2010 г. 7:30
    Отвечающий
  • Эм... описаный Выше Вами путь в этой оснасте не работает, то есть тут такого нет... я уже на нервах скорее всего туплю. через ран запускаю gpmc.msc и куда далее? или я опять не так делаю?

    4 августа 2010 г. 7:41
  • Эм... описаный Выше Вами путь в этой оснасте не работает, то есть тут такого нет... я уже на нервах скорее всего туплю. через ран запускаю gpmc.msc и куда далее? или я опять не так делаю?


    Хорошо, тогда нажмите на КД, Пуск - администрирование - domain controller security policy

    Там и правьте параметры

    4 августа 2010 г. 7:46
    Отвечающий
  • Вау, ругается что якобы прав нет, и красным отмечены group policy, то есть при попытке запуска говорит что filed to open the group policy object you may not have appropriate rights

    details the system cannot find the path specified

    4 августа 2010 г. 7:48
  • Вау, ругается что якобы прав нет, и красным отмечены group policy, то есть при попытке запуска говорит что filed to open the group policy object you may not have appropriate rights

    details the system cannot find the path specified


    В каких группах AD состоит учетная запись из под которой пытаетесь редактировать политику?
    4 августа 2010 г. 7:50
    Отвечающий
  • Работаю под администратором, он у группах

    administrators

    domain admins
    domain users
    enterprise admins
    group policy creator
    KLAdmins
    remotedesctop
    Schema users

     

    4 августа 2010 г. 7:53
  • покажите вывод команды dcdiag с КД (кстати сколько у вас КД?)
    4 августа 2010 г. 8:01
    Отвечающий
  • 2. реплицируются между собой.

    вывод с основного

    Domain Controller Diagnosis

    Performing initial setup:
       Done gathering initial info.

    Doing initial required tests

       Testing server: Default-First-Site-Name\DOMAINSRV
          Starting test: Connectivity
             ......................... DOMAINSRV passed test Connectivity

    Doing primary tests

       Testing server: Default-First-Site-Name\DOMAINSRV
          Starting test: Replications
             ......................... DOMAINSRV passed test Replications
          Starting test: NCSecDesc
             ......................... DOMAINSRV passed test NCSecDesc
          Starting test: NetLogons
             ......................... DOMAINSRV passed test NetLogons
          Starting test: Advertising
             ......................... DOMAINSRV passed test Advertising
          Starting test: KnowsOfRoleHolders
             ......................... DOMAINSRV passed test KnowsOfRoleHolders
          Starting test: RidManager
             ......................... DOMAINSRV passed test RidManager
          Starting test: MachineAccount
             ......................... DOMAINSRV passed test MachineAccount
          Starting test: Services
             ......................... DOMAINSRV passed test Services
          Starting test: ObjectsReplicated
             ......................... DOMAINSRV passed test ObjectsReplicated
          Starting test: frssysvol
             ......................... DOMAINSRV passed test frssysvol
          Starting test: frsevent
             ......................... DOMAINSRV passed test frsevent
          Starting test: kccevent
             ......................... DOMAINSRV passed test kccevent
          Starting test: systemlog
             An Error Event occured.  EventID: 0xC0000007
                Time Generated: 08/04/2010   11:15:17
                Event String: The Security Account Manager failed a KDC request
             An Error Event occured.  EventID: 0xC0000007
                Time Generated: 08/04/2010   11:15:17
                Event String: The Security Account Manager failed a KDC request
             An Error Event occured.  EventID: 0xC0000007
                Time Generated: 08/04/2010   11:15:17
                Event String: The Security Account Manager failed a KDC request
             An Error Event occured.  EventID: 0xC0000007
                Time Generated: 08/04/2010   11:15:17
                Event String: The Security Account Manager failed a KDC request
             An Error Event occured.  EventID: 0xC0000007
                Time Generated: 08/04/2010   11:15:20
                Event String: The Security Account Manager failed a KDC request
             An Error Event occured.  EventID: 0xC0000007
                Time Generated: 08/04/2010   11:15:20
                Event String: The Security Account Manager failed a KDC request
             An Error Event occured.  EventID: 0xC0000007
                Time Generated: 08/04/2010   11:15:20
                Event String: The Security Account Manager failed a KDC request
             An Error Event occured.  EventID: 0xC0000007
                Time Generated: 08/04/2010   11:15:20
                Event String: The Security Account Manager failed a KDC request
             An Error Event occured.  EventID: 0x00000423
                Time Generated: 08/04/2010   11:18:58
                Event String: The DHCP service failed to see a directory server
             An Error Event occured.  EventID: 0x00000423
                Time Generated: 08/04/2010   11:19:27
                Event String: The DHCP service failed to see a directory server
             ......................... DOMAINSRV failed test systemlog
          Starting test: VerifyReferences
             ......................... DOMAINSRV passed test VerifyReferences

       Running partition tests on : DomainDnsZones
          Starting test: CrossRefValidation
             ......................... DomainDnsZones passed test CrossRefValidation

          Starting test: CheckSDRefDom
             ......................... DomainDnsZones passed test CheckSDRefDom

       Running partition tests on : ForestDnsZones
          Starting test: CrossRefValidation
             ......................... ForestDnsZones passed test CrossRefValidation

          Starting test: CheckSDRefDom
             ......................... ForestDnsZones passed test CheckSDRefDom

       Running partition tests on : Schema
          Starting test: CrossRefValidation
             ......................... Schema passed test CrossRefValidation
          Starting test: CheckSDRefDom
             ......................... Schema passed test CheckSDRefDom

       Running partition tests on : Configuration
          Starting test: CrossRefValidation
             ......................... Configuration passed test CrossRefValidation
          Starting test: CheckSDRefDom
             ......................... Configuration passed test CheckSDRefDom

       Running partition tests on : bremor
          Starting test: CrossRefValidation
             ......................... bremor passed test CrossRefValidation
          Starting test: CheckSDRefDom
             ......................... bremor passed test CheckSDRefDom

       Running enterprise tests on : bremor.ru
          Starting test: Intersite
             ......................... bremor.ru passed test Intersite
          Starting test: FsmoCheck
             ......................... bremor.ru passed test FsmoCheck

    со второго пишет ошибку что мол команда такая не существует.

    4 августа 2010 г. 8:07
  • Утилита dcdiag находится в C:\Program Files\Support Tools, скопируйте на 2-й DC, и результат выполнения давайте тоже сюда 


    Dmitriy Poberezhniy ( my web blog http://dimsan.blogspot.com )
    4 августа 2010 г. 8:16
    Отвечающий
  • вывод со второго

    Domain Controller Diagnosis

    Performing initial setup:
       Done gathering initial info.

    Doing initial required tests

       Testing server: Default-First-Site-Name\CONTROLLERSRV
          Starting test: Connectivity
             ......................... CONTROLLERSRV passed test Connectivity

    Doing primary tests

       Testing server: Default-First-Site-Name\CONTROLLERSRV
          Starting test: Replications
             ......................... CONTROLLERSRV passed test Replications
          Starting test: NCSecDesc
             ......................... CONTROLLERSRV passed test NCSecDesc
          Starting test: NetLogons
             ......................... CONTROLLERSRV passed test NetLogons
          Starting test: Advertising
             ......................... CONTROLLERSRV passed test Advertising
          Starting test: KnowsOfRoleHolders
             ......................... CONTROLLERSRV passed test KnowsOfRoleHolders
          Starting test: RidManager
             ......................... CONTROLLERSRV passed test RidManager
          Starting test: MachineAccount
             ......................... CONTROLLERSRV passed test MachineAccount
          Starting test: Services
             ......................... CONTROLLERSRV passed test Services
          Starting test: ObjectsReplicated
             ......................... CONTROLLERSRV passed test ObjectsReplicated
          Starting test: frssysvol
             ......................... CONTROLLERSRV passed test frssysvol
          Starting test: frsevent
             ......................... CONTROLLERSRV passed test frsevent
          Starting test: kccevent
             An Warning Event occured.  EventID: 0x80250829
                Time Generated: 08/04/2010   12:16:49
                (Event String could not be retrieved)
             An Warning Event occured.  EventID: 0x80250829
                Time Generated: 08/04/2010   12:16:49
                (Event String could not be retrieved)
             An Warning Event occured.  EventID: 0x80250829
                Time Generated: 08/04/2010   12:16:49
                (Event String could not be retrieved)
             An Warning Event occured.  EventID: 0x80250829
                Time Generated: 08/04/2010   12:16:49
                (Event String could not be retrieved)
             An Warning Event occured.  EventID: 0x80250829
                Time Generated: 08/04/2010   12:16:49
                (Event String could not be retrieved)
             ......................... CONTROLLERSRV failed test kccevent
          Starting test: systemlog
             ......................... CONTROLLERSRV passed test systemlog
          Starting test: VerifyReferences
             ......................... CONTROLLERSRV passed test VerifyReferences

       Running partition tests on : DomainDnsZones
          Starting test: CrossRefValidation
             ......................... DomainDnsZones passed test CrossRefValidation

          Starting test: CheckSDRefDom
             ......................... DomainDnsZones passed test CheckSDRefDom

       Running partition tests on : ForestDnsZones
          Starting test: CrossRefValidation
             ......................... ForestDnsZones passed test CrossRefValidation

          Starting test: CheckSDRefDom
             ......................... ForestDnsZones passed test CheckSDRefDom

       Running partition tests on : Schema
          Starting test: CrossRefValidation
             ......................... Schema passed test CrossRefValidation
          Starting test: CheckSDRefDom
             ......................... Schema passed test CheckSDRefDom

       Running partition tests on : Configuration
          Starting test: CrossRefValidation
             ......................... Configuration passed test CrossRefValidation
          Starting test: CheckSDRefDom
             ......................... Configuration passed test CheckSDRefDom

       Running partition tests on : bremor
          Starting test: CrossRefValidation
             ......................... bremor passed test CrossRefValidation
          Starting test: CheckSDRefDom
             ......................... bremor passed test CheckSDRefDom

       Running enterprise tests on : bremor.ru
          Starting test: Intersite
             ......................... bremor.ru passed test Intersite
          Starting test: FsmoCheck
             ......................... bremor.ru passed test FsmoCheck

     

    4 августа 2010 г. 8:22
  • Вау, ругается что якобы прав нет, и красным отмечены group policy, то есть при попытке запуска говорит что filed to open the group policy object you may not have appropriate rights

    details the system cannot find the path specified


    Из GPMC(раз уже поставили) проверьте права на политику Default Domain Controllers Policy (вкладки Details и Delegation) у админов домена (и кто владелец этой политики?).
    4 августа 2010 г. 8:27
  • Давайте Dcdiag /test:CheckSecurityError с обих DC
    Dmitriy Poberezhniy ( my web blog http://dimsan.blogspot.com )
    4 августа 2010 г. 8:33
    Отвечающий
  • Открываю gpmc сразу преед открытием он выдает the system cannot find file specified открываю я run cmd gpmc.msc при нажатии на ОК открывается. выбираю из леса свой домен, он там один, далее  group policy objects далее Default Domain Controllers Policy и опять выскакивает cannot find file specified нажимаю ОК пропускает далее вкладка детаилс овнер domain admins вкладка delegation

    auth user - read
    domain admins - edit, delete, modify
    enterprise admins - edit, delete, modify
    enterprise domain controller READ
    system - edit, delete, modify

    4 августа 2010 г. 8:38
  • вот вывод с первого

    Domain Controller Diagnosis

    Performing initial setup:
       Done gathering initial info.

    Doing initial required tests

       Testing server: Default-First-Site-Name\DOMAINSRV
          Starting test: Connectivity
             ......................... DOMAINSRV passed test Connectivity

    Doing primary tests

       Testing server: Default-First-Site-Name\DOMAINSRV
          Starting test: CheckSecurityError
             [DOMAINSRV] No security related replication errors were found on this D
    C!  To target the connection to a specific source DC use /ReplSource:<DC>.
             ......................... DOMAINSRV passed test CheckSecurityError

       Running partition tests on : DomainDnsZones

       Running partition tests on : ForestDnsZones

       Running partition tests on : Schema

       Running partition tests on : Configuration

       Running partition tests on : bremor

       Running enterprise tests on : bremor.ru

     

    вот вывод со второго

    Domain Controller Diagnosis

    Performing initial setup:
       Done gathering initial info.

    Doing initial required tests

       Testing server: Default-First-Site-Name\CONTROLLERSRV
          Starting test: Connectivity
             ......................... CONTROLLERSRV passed test Connectivity

    Doing primary tests

       Testing server: Default-First-Site-Name\CONTROLLERSRV
          Starting test: CheckSecurityError
             [CONTROLLERSRV] No security related replication errors were found on th
    is DC!  To target the connection to a specific source DC use /ReplSource:<DC>.
             ......................... CONTROLLERSRV passed test CheckSecurityError

       Running partition tests on : DomainDnsZones

       Running partition tests on : ForestDnsZones

       Running partition tests on : Schema

       Running partition tests on : Configuration

       Running partition tests on : bremor

       Running enterprise tests on : bremor.ru

    4 августа 2010 г. 8:42
  • Посмотрите, нет ли у вас запрещающих ACE в Default Domain Controllers Policy

    http://support.microsoft.com/kb/294257

    4 августа 2010 г. 8:45
    Отвечающий
  • Скажите служба Kerberos Key Distribution Center запущена на DOMAINSRV?, если нет ее нужно запустить


    Dmitriy Poberezhniy ( my web blog http://dimsan.blogspot.com )
    4 августа 2010 г. 8:58
    Отвечающий
  • Служба запущена, читаю мануал http://support.microsoft.com/kb/294257 щас скоро отпишусь.
    4 августа 2010 г. 9:01
  • Выполните на DOMAINSRV  dcdiag /test:systemlog /v
    Dmitriy Poberezhniy ( my web blog http://dimsan.blogspot.com )
    4 августа 2010 г. 9:05
    Отвечающий
  • По инструкции дошел до пунтка 4. там Примечание. Запрещенная политика отображается со значком блокнота, все остальные политики отображаются со значком папки. у меня все нормально, блокнотов нет, все папки.
    4 августа 2010 г. 9:11
  • Domain Controller Diagnosis

    Performing initial setup:
       * Verifying that the local machine domainsrv, is a DC.
       * Connecting to directory service on server domainsrv.
       * Collecting site info.
       * Identifying all servers.
       * Identifying all NC cross-refs.
       * Found 2 DC(s). Testing 1 of them.
       Done gathering initial info.

    Doing initial required tests

       Testing server: Default-First-Site-Name\DOMAINSRV
          Starting test: Connectivity
             * Active Directory LDAP Services Check
             * Active Directory RPC Services Check
             ......................... DOMAINSRV passed test Connectivity

    Doing primary tests

       Testing server: Default-First-Site-Name\DOMAINSRV
          Test omitted by user request: Replications
          Test omitted by user request: Topology
          Test omitted by user request: CutoffServers
          Test omitted by user request: NCSecDesc
          Test omitted by user request: NetLogons
          Test omitted by user request: Advertising
          Test omitted by user request: KnowsOfRoleHolders
          Test omitted by user request: RidManager
          Test omitted by user request: MachineAccount
          Test omitted by user request: Services
          Test omitted by user request: OutboundSecureChannels
          Test omitted by user request: ObjectsReplicated
          Test omitted by user request: frssysvol
          Test omitted by user request: frsevent
          Test omitted by user request: kccevent
          Starting test: systemlog
             * The System Event log test
             Found no errors in System Event log in the last 60 minutes.
             ......................... DOMAINSRV passed test systemlog
          Test omitted by user request: VerifyReplicas
          Test omitted by user request: VerifyReferences
          Test omitted by user request: VerifyEnterpriseReferences
          Test omitted by user request: CheckSecurityError

       Running partition tests on : DomainDnsZones
          Test omitted by user request: CrossRefValidation
          Test omitted by user request: CheckSDRefDom

       Running partition tests on : ForestDnsZones
          Test omitted by user request: CrossRefValidation
          Test omitted by user request: CheckSDRefDom

       Running partition tests on : Schema
          Test omitted by user request: CrossRefValidation
          Test omitted by user request: CheckSDRefDom

       Running partition tests on : Configuration
          Test omitted by user request: CrossRefValidation
          Test omitted by user request: CheckSDRefDom

       Running partition tests on : bremor
          Test omitted by user request: CrossRefValidation
          Test omitted by user request: CheckSDRefDom

       Running enterprise tests on : bremor.ru
          Test omitted by user request: Intersite
          Test omitted by user request: FsmoCheck
          Test omitted by user request: DNS
          Test omitted by user request: DNS
    4 августа 2010 г. 9:12
  • P.S. Учетные записи все еще продолжают блокироваться(((. А можно как то разом разблокировать их все пока идет решение проблемы?

    4 августа 2010 г. 9:13
  • Вот последний вывод dcdiag /test:systemlog /v

     

    Domain Controller Diagnosis

    Performing initial setup:
       * Verifying that the local machine domainsrv, is a DC.
       * Connecting to directory service on server domainsrv.
       * Collecting site info.
       * Identifying all servers.
       * Identifying all NC cross-refs.
       * Found 2 DC(s). Testing 1 of them.
       Done gathering initial info.

    Doing initial required tests

       Testing server: Default-First-Site-Name\DOMAINSRV
          Starting test: Connectivity
             * Active Directory LDAP Services Check
             * Active Directory RPC Services Check
             ......................... DOMAINSRV passed test Connectivity

    Doing primary tests

       Testing server: Default-First-Site-Name\DOMAINSRV
          Test omitted by user request: Replications
          Test omitted by user request: Topology
          Test omitted by user request: CutoffServers
          Test omitted by user request: NCSecDesc
          Test omitted by user request: NetLogons
          Test omitted by user request: Advertising
          Test omitted by user request: KnowsOfRoleHolders
          Test omitted by user request: RidManager
          Test omitted by user request: MachineAccount
          Test omitted by user request: Services
          Test omitted by user request: OutboundSecureChannels
          Test omitted by user request: ObjectsReplicated
          Test omitted by user request: frssysvol
          Test omitted by user request: frsevent
          Test omitted by user request: kccevent
          Starting test: systemlog
             * The System Event log test
             Found no errors in System Event log in the last 60 minutes.
             ......................... DOMAINSRV passed test systemlog
          Test omitted by user request: VerifyReplicas
          Test omitted by user request: VerifyReferences
          Test omitted by user request: VerifyEnterpriseReferences
          Test omitted by user request: CheckSecurityError

       Running partition tests on : DomainDnsZones
          Test omitted by user request: CrossRefValidation
          Test omitted by user request: CheckSDRefDom

       Running partition tests on : ForestDnsZones
          Test omitted by user request: CrossRefValidation
          Test omitted by user request: CheckSDRefDom

       Running partition tests on : Schema
          Test omitted by user request: CrossRefValidation
          Test omitted by user request: CheckSDRefDom

       Running partition tests on : Configuration
          Test omitted by user request: CrossRefValidation
          Test omitted by user request: CheckSDRefDom

       Running partition tests on : bremor
          Test omitted by user request: CrossRefValidation
          Test omitted by user request: CheckSDRefDom

       Running enterprise tests on : bremor.ru
          Test omitted by user request: Intersite
          Test omitted by user request: FsmoCheck
          Test omitted by user request: DNS
          Test omitted by user request: DNS

    4 августа 2010 г. 9:38
  • P.S. Учетные записи все еще продолжают блокироваться(((. А можно как то разом разблокировать их все пока идет решение проблемы?

    Возможно, поможет


    http://social.technet.microsoft.com/Forums/ru-RU/windowsserverru/thread/918c4e06-7b61-4c09-b0c5-912c730783c4

     

    • Изменено Den V. G_ 4 августа 2010 г. 10:10 ошибка
    4 августа 2010 г. 10:04
  • Может быть проще отключить блокировку в политиках?


    blog: http://shss.wordpress.com/
    4 августа 2010 г. 10:50
  • Может быть проще отключить блокировку в политиках?


    blog: http://shss.wordpress.com/

    Дело в том, что у человека бок какой-то с применением политик.
    4 августа 2010 г. 11:15
  • ipconfig /all уже показывали/проверяли, надо полагать?
    MCPIT: Enterprise Administrator; MCT; Microsoft Security Trusted Advisor
    4 августа 2010 г. 11:34
    Отвечающий
  • Может быть проще отключить блокировку в политиках?


    blog: http://shss.wordpress.com/

    Дело в том, что у человека бок какой-то с применением политик.


    Единственная блокировка, которая может мешать - это блокирование наследование политик на уровне OU Domain controllers, все остальное - ошибки конфигурирования, которые надо исправлять

    PS В крайнем случае, можно напрямки отредактировать объект Domain в ADSIEdit


    blog: http://shss.wordpress.com/
    4 августа 2010 г. 11:39
  • Вся проблема не в том, что бы отключить блокировку, а в том, что бы найти от куда из сети идет подбор паролей... А включить в политике подробное логировение не получается, так как к ней нет доступа... как же быть?

     

    p.s. проблема все еще актуальна, блокировка продолжается, касперы и вебы корпорейт молчат, говорят триперов нет

    4 августа 2010 г. 16:54
  • >Подскажите пожалуйста, со вчерашнего дня вся компания стоит и не может работать

    >Вся проблема не в том, что бы отключить блокировку, а в том, что бы найти от куда из сети идет подбор паролей

    Наверное, я не правильно расставил приоритеты?

    __

    Все-таки стоит обратить внимание на ошибки в журналах ваших DC:

    http://eventid.net/display.asp?eventid=7&eventno=1469&source=KDC&phase=1

    __

    Account Lockout and Management Tools 

    __

    >сделал run cmd ввел mmc добавил оснастку group policy objectedition и там уже  Computer Configuration > Windows Settings > Local policies > Audit Policy причет захожу как описал щас все вижу, все проставлено а через rcop.msc везде not deffine

    >Странно, запускаю rsop.msc открываю win settings - security - local policy - audit policy а там все проставлено в not defined не понимаю как так

    1) устанавливать параметры аудита, редактируя локальный gpo, - не есть гут. Надо делать это, путем редактирования DDCP или DDP.

    2) не знаю почему, но у меня в rsop значения, выставленные через локальный gpo, так же никогда не отображаются. можете посмотреть результаты Gpresult /z, уверен, там также не будет этой информации.


    blog: http://shss.wordpress.com/
    4 августа 2010 г. 19:55
  • Вся проблема не в том, что бы отключить блокировку, а в том, что бы найти от куда из сети идет подбор паролей... А включить в политике подробное логировение не получается, так как к ней нет доступа... как же быть?

     

    p.s. проблема все еще актуальна, блокировка продолжается, касперы и вебы корпорейт молчат, говорят триперов нет


    Давайте по порядку:

    1. Включить аудит. Из GPMC-ищете Ваш домен, в нем - Group Policy Objects-Default Domain Conrollers Policy->Edit. Там правите политики аудита, как указано выше.

    2. Временно выключаете политику блокировки В Default Domain Policy ...Политика уч. записей-Политика блокировки паролей.

    3. Разбираетесь с логами аудита

     

    5 августа 2010 г. 6:36
  • Уважаемый пользователь!

    В вашей теме отсутствует активность в течение последних 5 дней. При отсутствии каких-либо действий в течение 2 последующих дней, тема будет переведена в разряд обсуждений. Вы можете возобновить дискуссию, просто оставив сообщение в данной теме.


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
    Follow MSTechnetForum on Twitter

    Посетите Блог Инженеров Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html
    23 августа 2010 г. 5:48
    Модератор
  • Была таже ситуация. Блокировались учетки в директориях. Решал след. образом:

    1) В параметрах политики безопасности контроллера домена настроил аудит управления учетными записями на Успех и Отказ.

    2) В логах этого контроллера  стали появляться события типа Аудит Успеха Код (ID) 644 - Блокировка учетной записи пользователя, и дальше имя вызывающего компьютера! Именно на тех компьютерах сидела зараза! Сканер Dr. Web и Касперский нашли его без проблем.

    3)  Сразу блокировка этих компов в директориях, физическое отключение от сети и внеплановые работы с ними.

     

    Если не видишь событий аудита, проверь логи на всех контроллерах, убедись, что включен аудит. У меня также включен аудит входа в систему и аудит событий входа в систему на Успех и Отказ. По ним видно, что, в моем случае, с 3 компов идет постоянная попытка авторизации под разными пользователями. И т.к.  в политике блокировки учетных записей в Политике Безопасности Домена настроена блокировка учеток через определенное количество неудачных входов, учетки блокируются!

    7 декабря 2010 г. 16:31