none
AD账号频繁锁定 RRS feed

 > 

  • 问题

  • Question
    登录进行投票
    0
    登录进行投票
    各位好,目前发现一个AD账号在一部客户端上频繁锁定,开启了客户端的审核日志,但观察域控锁定日志时间在客户端日志上没有对应上的信息。但我锁屏测试输错密码能看到日志有记录,判断审核日志配置是正常的,请问这种情况怎么处理呢?谢谢
    2023年1月9日 5:13
    |

全部回复

  • Question
    登录进行投票
    0
    登录进行投票
    尊敬的客户,您好!

    感谢您在我们的TechNet论坛发帖。

    根据您的描述,我理解您已经确认了某一个AD账号在某一台客户端上被锁定,就是还没在这台客户端上找出到底是什么锁定了这个AD账号。

    我看到您之前上的帖子,因为之前那个帖子过去的时间太久了,我们现在就在这个帖子上交流并继续排查这个问题吧。
    windows 10 客户端AD账号频繁锁定 (microsoft.com)

    根据“但我测试使用锁屏之后,故意输入错误的密码可以生成4625的日志”。请问您故意输错了多少次密码?是否达到了账号锁定的次数,然后您在域控上看到了的是4771还是4776?紧接着您是否在域控上看到了4740表示这个账号被锁定了?

    您可以测试下,假设您的账号锁定策略里设置了输错密码5次,然后账号锁定,您就在登录界面测试输错5此错误的密码,直到提示账号被锁定,无法登录,您就去域控看看4771或者4776和4740,然后在去客户端上看4625(登录失败,原因是账号被锁),看看客户端上的4625和域控上的4740时间是否一致呢。


    此致,
    Daisy Zhou


    如果我的回答是有帮助的,请将其标记为答复,可以帮助其他社区成员快速找到有用的答复,谢谢!

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.


    2023年1月10日 3:41
    |
  • Question
    登录进行投票
    0
    登录进行投票

    HI,Daisy:

          我测试密码故意输错5次触发锁定时,AD上有记录4740的日志,时间是一致的。但目前主要在正常使用锁定的时候,客户端没有对应时间点日志记录该问题,无法进一步排错,所以想了解哪里配置问题,谢谢!

    2023年1月10日 6:54
    |
  • Question
    登录进行投票
    0
    登录进行投票
    尊敬的客户,您好!

    感谢您的回复。

    如果您已经确定某一个AD账号在特定的某一台客户端上被锁定,就是还没在这台客户端上找出到底是什么锁定了这个AD账号的话,我的意思就是确定了锁定的账号机器的话,那么肯定是在这台机器上查找,什么程序啊或者什么进程啊,一直在使用这个账号尝试登录,并且也是使用错误的密码在登录,超过了账号锁定的阈值,所以锁定了。

    那么您就是要去这台机器上查找看看。按照我之前的步骤去检查,把能检查的程序,任务管理器,什么服务,什么应用,等等,能检查的都看一下。
    windows 10 客户端AD账号频繁锁定 (microsoft.com)

    如果确实检查了在这台机器上没有任何程序锁定这个账号,那么是否有可能锁定账号的机器没有找对?也就是这个账号并不是在这一台客户端机器上被锁定的呢。

    您是怎么确定这个账号是在这台客户端上被锁定的呢?


    此致,
    Daisy Zhou


    如果我的回答是有帮助的,请将其标记为答复,可以帮助其他社区成员快速找到有用的答复,谢谢!

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2023年1月11日 8:53
    |
  • Question
    登录进行投票
    0
    登录进行投票
    HI,Daisy,我通过AD的安全日志4740查看到调用方计算机名是这部客户端,同时测试把这部客户端断网,这样账号也不会锁定。已检查这部异常客户端的任务计划,凭据,浏览器记住密码等信息均无发现。删除用户的配置文件重新配置还是会导致账号锁定。
    2023年1月11日 8:58
    |
  • Question
    登录进行投票
    0
    登录进行投票
    尊敬的客户,您好!

    那么您找的客户端应该是对的,您是否在这台客户端上配置了下面的策略?

    1.使用管理员帐户登录此计算机,并通过本地组策略配置配置下面的审核策略设置。

    传统审核策略:
    Computer Configuration\Windows settings\security settings\local policies\audit policy
    Audit Logon Events – Success and Failure
    Audit process tracking - Success and Failure


    或者使用高级审核策略(默认情况下,高级审核策略将覆盖所有传统审核策略):
    Computer Configuration\Windows settings\security settings\Advanced Audit Policy Configuration

    Logon/Logoff:
    Audit Logon – Success and Failure

    Detailed Tracking
    Audit Process Creation - Success and Failure

    提示:
    1.如果您以前从未配置过任何高级审核策略,请配置传统审核策略。
    2.如果您之前配置过任何一条高级审核策略,则表示您已配置过高级审核策略,那么您就配置高级审核策略。

    如果这些审核日志都开启了还是没有的话,您是否可以重装系统呢。

    删除用户的配置文件重新配置还是会导致账号锁定。
    这个删除配置文件可能确实不能解决问题,因为配置文件只是用户账号里的文件夹,但是这个错误的凭据还是在不断的被某个应用在尝试登录。

    如果您也不想重装系统,您可以尝试在这台电脑上使用    Network monitor和Process monitor在问题复现的时候搜集信息,看看是否能看到相关信息。

    1使用管理员账号登录这台客户端,
    2然后安装这2个软件;
    3安装好以后,以管理员身份打开工具;
    4开始搜集问题,
    5问题复现以后(也就是账号再一次锁定后),请记录问题的发生时间(最好精确到秒或者分钟)。
    6结束搜集问题。
    7保存搜集的文件。
    8打开日志文件,您尝试看看是否能在日志文件里对应的账号锁定的时间,检查到什么相关的信息呢。

    备注:由于论坛上信息安全问题,我们不搜集和分析您的日志,您先尝试自己看看。


    此致,
    Daisy Zhou


    如果我的回答是有帮助的,请将其标记为答复,可以帮助其他社区成员快速找到有用的答复,谢谢!

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.




    2023年1月12日 8:00
    |
  • Question
    登录进行投票
    0
    登录进行投票
    尊敬的客户,您好!

    请问这个帖子里的问题是否解决了呢?

    对于这个帖子,如果您还有任何相关的问题,请随时告知我们。我们很高兴帮助您。

    备注:很抱歉,我这边从明天开始休假了,如果您的问题还没有解决的话,并且您不是非常着急的话,那么我们可以年后来继续沟通并处理您的问题。很抱歉给您带来的不便。

    只要我今天有空的话,我也会尽量回复您的。


    此致,
    Daisy Zhou


    如果我的回答是有帮助的,请将其标记为答复,可以帮助其他社区成员快速找到有用的答复,谢谢!

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2023年1月16日 1:59
    |