none
請問 帳戶被鎖定問題 RRS feed

  • 問題

  •     安全性識別碼:        DM\chen
        帳戶名稱:        chen
      其他資訊:
        呼叫者電腦名稱:    HC-AHEN



    目前有網域,那
    Q1.該如何查 "帳戶被鎖定"?
      有時候USER 常反應,晚上關機後,隔天開機,帳戶就被鎖定了
      要如何查,是否有人在測帳/密?
      還是系統問題?

    Q2.我由 AD 主機,事件檢視簿-->安全性
        ==>篩選器--> 要查    電腦名稱:    HC-AHEN
           但都查不到
        請問  使用者 與電腦名稱  該如何 查詢



    Q03.Security Log找ID 4740 或 4625  這是 找登入/登出 ?
            6005 與 6006  是開機 關機?

                   
    2019年1月9日 上午 05:58

解答

  • 別人我不知道怎樣用,我嫌事件檢視器反應很慢,有搜尋需求時,我都是從右側

    將所有事件另存為...

    選擇 CSV

    然後用 Excel 找...


    不精確的問法,就會得到隨便猜的答案;自己都不肯花時間好好描述問題,又何必期望網友會認真回答?

    • 已標示為解答 softballnow 2019年1月23日 下午 12:38
    2019年1月22日 下午 03:15
  • Q2 的篩選,使用者和電腦是針對事件為該使用者或電腦所產生,
    但你要看的安全性事件紀錄都是你查看的 DC 所產生 (可以把檢視欄位新增就會看到),
    所以不能用使用者和電腦來篩選,
    想查是哪一個帳號或來自哪一個 IP 嘗試過登入,
    則必須看事件完整內容

    若想知道是哪一個帳號及何時被鎖定,可以找 Event 4740,
    詳情請參考下面影片
    ( Event Viewer ) Event ID 4740 - Account locked

    另外,有時候不一定是使用者端的電腦中毒,
    如果公司有系統是對外且使用 AD 驗證,
    也可能造成有心人士從外部嘗試進行帳號登入造成鎖定

    至於 Event 4740, 4625, 6005,6006 的事件代表意義,
    我相信用搜尋引擎找一下可以看到很多說明


    蘇老碎碎念
    資訊無涯,回頭已不見岸
    Facebook - 微軟台灣官方論壇愛好者俱樂部

    論壇不是神壇,沒人會通靈知道問題狀況
    請正確簡述標題及詳述狀況
    如何在論壇正確發問,可以參考iThome的文章:
    如何問到我要的答案

    • 已標示為解答 softballnow 2019年1月23日 下午 12:38
    2019年1月22日 下午 03:28
    版主
  • 您好,

    如果您是用趨勢的話,目前趨勢新版本為XG SP1,Patch 5261

    建議您更新至最新,若為舊版的話,先將OfficeScan Client移除後觀察看看.

    提供您參考,

    希望對您有所幫助

    謝謝.

    • 已標示為解答 softballnow 2019年1月23日 下午 12:38
    2019年1月23日 上午 05:14

所有回覆

  • 要先看你的帳號那台有沒有針對登入錯誤稽核,有的話會寫入事件檢視器,就可以查問題。

    通常是多次登入密碼錯誤造成,有做紀錄可以從事件檢視器查是哪台造成,再來查是人工企圖手動登入還是中毒。


    不精確的問法,就會得到隨便猜的答案;自己都不肯花時間好好描述問題,又何必期望網友會認真回答?

    2019年1月9日 下午 06:07
  • 您好:

    一般 查看 事件檢視簿-->安全性

    就算查看稽核嗎? 還是有要先設定其他?

    2019年1月12日 上午 11:07
  • 但是預設開很少。

    從系統管理工具 本機安全性原則設 (也可以在群組原則中找到) 本機原則 稽核

    裡面有的都可以在事件檢視器中找到,想要的就自己設定。


    不精確的問法,就會得到隨便猜的答案;自己都不肯花時間好好描述問題,又何必期望網友會認真回答?

    2019年1月12日 下午 02:27
  • 那請問,

    圖中 的使用者 與 電腦

    要key?

    我輸入 網域帳號,卻找不到任何資料

    網域的電腦名稱 也是找不到

    謝謝! 

    2019年1月21日 下午 01:23
  • 圖中是篩選,前提是已經紀錄

    不精確的問法,就會得到隨便猜的答案;自己都不肯花時間好好描述問題,又何必期望網友會認真回答?

    2019年1月21日 下午 04:45
  • 您好,

    就我的經驗在客戶端遇到的問題處理,最後找出原因是

    1.電腦中毒,需重新安裝作業系統後,恢復正常.

    2.重灌作業系統發現問題還是一樣,結果移除防毒軟體(免費版)後,恢復正常.

    提供您參考,

    希望對您有所幫助

    謝謝.

    2019年1月22日 上午 01:01
  • 您好:

    我直接查看 紀錄中, 有XXX 帳號

    但 用 XXX去 網域帳號 搜尋,卻 找不到該筆?

    謝謝~

    2019年1月22日 下午 12:13
  • 您好:

    謝謝,

    我們是安裝 趨勢(有買版權的)

    看防毒軟體 ,也沒顯示有病毒!

    目前,有可能 是A台電腦 隔一周 一次

    也有發生  C,D 當天輪流發生!

    2019年1月22日 下午 12:16
  • 別人我不知道怎樣用,我嫌事件檢視器反應很慢,有搜尋需求時,我都是從右側

    將所有事件另存為...

    選擇 CSV

    然後用 Excel 找...


    不精確的問法,就會得到隨便猜的答案;自己都不肯花時間好好描述問題,又何必期望網友會認真回答?

    • 已標示為解答 softballnow 2019年1月23日 下午 12:38
    2019年1月22日 下午 03:15
  • Q2 的篩選,使用者和電腦是針對事件為該使用者或電腦所產生,
    但你要看的安全性事件紀錄都是你查看的 DC 所產生 (可以把檢視欄位新增就會看到),
    所以不能用使用者和電腦來篩選,
    想查是哪一個帳號或來自哪一個 IP 嘗試過登入,
    則必須看事件完整內容

    若想知道是哪一個帳號及何時被鎖定,可以找 Event 4740,
    詳情請參考下面影片
    ( Event Viewer ) Event ID 4740 - Account locked

    另外,有時候不一定是使用者端的電腦中毒,
    如果公司有系統是對外且使用 AD 驗證,
    也可能造成有心人士從外部嘗試進行帳號登入造成鎖定

    至於 Event 4740, 4625, 6005,6006 的事件代表意義,
    我相信用搜尋引擎找一下可以看到很多說明


    蘇老碎碎念
    資訊無涯,回頭已不見岸
    Facebook - 微軟台灣官方論壇愛好者俱樂部

    論壇不是神壇,沒人會通靈知道問題狀況
    請正確簡述標題及詳述狀況
    如何在論壇正確發問,可以參考iThome的文章:
    如何問到我要的答案

    • 已標示為解答 softballnow 2019年1月23日 下午 12:38
    2019年1月22日 下午 03:28
    版主
  • 您好,

    如果您是用趨勢的話,目前趨勢新版本為XG SP1,Patch 5261

    建議您更新至最新,若為舊版的話,先將OfficeScan Client移除後觀察看看.

    提供您參考,

    希望對您有所幫助

    謝謝.

    • 已標示為解答 softballnow 2019年1月23日 下午 12:38
    2019年1月23日 上午 05:14
  • 謝謝 大家, 我再試試看!
    2019年1月23日 下午 12:38
  • 您好

    我是安裝PRTG 利用wmi 監控事件檢視並篩選4740 產生後發送郵件給管理

    這樣會收到mail 可以看到even 內容是哪個帳號被鎖定是從哪台電腦觸發的

    以上您參考看看

    2019年1月24日 下午 02:51