Czasami pojawia się potrzeba aby sprawdzić dlaczego konto użytkownika w AD zostało zablokowane, bo przyczyn może być kilka. Oprócz tego, że ktoś próbuje zalogować się na cudze dane i oprócz tego, że użytkownik sam sobie konto zablokował wpisując niepoprawne hasło konto w domenie może zostać zablokowane przez aplikację używającą uwierzytelniania Windows.
Aby znaleźć komputer, z którego konto AD zostało zablokowane, na kontrolerze domeny należy wyświetlić kategorię „Zabezpieczenia” dziennika zdarzeń którą następnie filtrujemy według ID 644.
Szukamy wpisu zawierającego nazwę zablokowanego konto w polu „Target Account Name„. Nazwa komputera, z którego konto użytkownika zostało zablokowane będzie wpisana w polu „Caller Machine Name”.
Po znalezieniu źródła blokady konta można łatwo sprawdzić z którego adresu IP ktoś nam je blokuje.
Może się wtedy okazać, że jest to serwer, na którym działają aplikacje uruchomione na koncie danego użytkownika i to one, mając w konfiguracji złe hasło, powodują zablokowanie konta. Poszukiwania aplikacji warto zacząć od sprawdzenia kont na jakich uruchamiane są usługi i zaplanowane zadania, przejrzeć zapisane hasła sieciowe, hasła w przeglądarce, zamapowane dyski itd.
Dla żądnych wiedzy jak jeszcze można diagnozować proces logowania w Active Directory artykuł ze strony Microsoft.
Komentarz