Szybkie sprawdzanie kto blokuje konto w AD

zablokowane konto w Active DirectoryCzasami pojawia się potrzeba aby sprawdzić dlaczego konto użytkownika w AD zostało zablokowane, bo przyczyn może być kilka. Oprócz tego, że ktoś próbuje zalogować się na cudze dane i oprócz tego, że użytkownik sam sobie konto zablokował wpisując niepoprawne hasło konto w domenie może zostać zablokowane przez aplikację używającą uwierzytelniania Windows.

Aby znaleźć komputer, z którego konto AD zostało zablokowane, na kontrolerze domeny należy wyświetlić kategorię „Zabezpieczenia” dziennika zdarzeń którą następnie filtrujemy według ID 644.

Filtr dziennika zdarzeń

Szukamy wpisu zawierającego nazwę zablokowanego konto w polu „Target Account Name„. Nazwa komputera, z którego konto użytkownika zostało zablokowane będzie wpisana w polu „Caller Machine Name”.

Event properties

Po znalezieniu źródła blokady konta można łatwo sprawdzić z którego adresu IP ktoś nam je blokuje.

Może się wtedy okazać, że jest to serwer, na którym działają aplikacje uruchomione na koncie danego użytkownika i to one, mając w konfiguracji złe hasło, powodują zablokowanie konta. Poszukiwania aplikacji warto zacząć od sprawdzenia kont na jakich uruchamiane są usługi i zaplanowane zadania, przejrzeć zapisane hasła sieciowe, hasła w przeglądarce, zamapowane dyski itd.

Dla żądnych wiedzy jak jeszcze można diagnozować proces logowania w Active Directory artykuł ze strony Microsoft.

Nie ma jeszcze żadnych komentarzy.

O mnie

Dobromir Chodkowski

Jestem informatykiem z zawodu oraz z zamiłowania, pasjonatem fotografii i szczęśliwym facetem swojej dziewczyny.

Nieraz udaje mi się znaleźć czas w napiętym grafiku dnia i wtedy dzielę się z Wami swoją wiedzą informatyczną.

O aVarii

Znajdziesz tu porady komputerowe, sztuczki oraz rozwiązania z dziedziny IT i tematów pokrewnych.

Jeśli interesuje Cie jakiś temat, skontaktuj się ze mną, a postaram się znaleźć czas, aby interesujące Cię kwestie opisać i wytłumaczyć.