Вопрос или проблема
У меня есть пользователь, который почти ежедневно, а иногда и несколько раз в день, оказывается заблокированным в своей учетной записи AD.
Учетная запись блокируется даже тогда, когда он не работает. Он использует 3 разных компьютера, два из которых вызывают блокировки, поэтому я знаю, по крайней мере, о устройствах.
кажется, когда пользователь использует RDP, его учетная запись практически сразу же блокируется – но не всегда.
У меня нет контроля над DC или AD, у меня ограниченный доступ к AD и ограниченные права – мы большая организация, и члены моей группы просто говорят стереть данные и переустановить образ.
Я хотел бы узнать, что является причиной этого, и попытаться устранить это для решения проблемы. На этих машинах установлено специализированное программное обеспечение, и это настоящий кошмар — проходить процесс установки лицензий и это реальные трудности (плюс это старые версии, которые нам нужно иметь) — поэтому я хотел бы избегать такого сценария.
Итак, как я могу определить источник проблемы в приложении?
Я изучил журналы событий, и это кажется связано с терминальными службами.
Я проверил запланированные задачи и не нашел ничего. Я посмотрел на запущенные службы и приложения при запуске на обоих компьютерах и, кажется, ничего не нашел.
Самый простой способ на данный момент – получить доступ к серверу DC, чтобы проверить его журнал, это может указать на проблемный рабочий стол с помощью следующей команды PowerShell:
Get-WinEvent -FilterHashtable @{logname=’security’; id=4740}
Без доступа к серверу DC вот небольшое руководство, которое может помочь.
Часто заблокированная учетная запись появляется, если пароль пользователя был изменен и не обновлен на некоторых клиентских устройствах. Они продолжают запрашивать аутентификацию со старыми учетными данными. Так что, по сути, вам “просто” необходимо очистить учетные данные на всех своих клиентских устройствах, чтобы избавиться от этого явления. Вы можете посмотреть:
- в диспетчере учетных данных (в панели управления Windows):
диспетчер учетных данных в Windows
- все мобильные устройства с чем-либо, связанным с AD (почтовый ящик, любой другой ящик)
Поскольку вы это упоминаете, это также может быть вызвано сеансом отключения на сервере терминалов где-либо в вашем парке. Если это так, этот сеанс все еще имеет старые учетные данные, кэшированные на сервере TS. Просто найдите его и закройте, и вы готовы.
Старые учетные данные явно закэшированы на одном из этих устройств. Это может произойти даже если у вас есть локальный Exchange, например, мобильный телефон с кешированными учетными данными электронной почты старого пароля, который пытается аутентифицироваться снова и снова. Единственный способ решить это — обновить учетные данные на всех устройствах этого пользователя.
.
Ответ или решение
Когда пользователь сталкивается с частыми блокировками учетной записи в Active Directory, это может быть вызвано несколькими причинами. Понимание теории и потенциальных источников проблемы является ключом к ее эффективному решению.
Теория
Основной причиной блокировки учетной записи может быть наличие устаревших или неверных учетных данных, которые хранятся на различных устройствах пользователя. Когда пользователи меняют свой пароль, устройства, которые используют старые, кэшированные учетные данные, продолжают отправлять некорректные запросы на аутентификацию, что приводит к блокировке учетной записи.
Пример
Ваш случай, в котором учетная запись блокируется даже в отсутствие пользователя и проблема усугубляется при использовании RDP, часто является индикатором того, что на одном из устройств используются старые учетные данные. Это может происходить, например, из-за того, что в клиенте электронной почты или в другом приложении сохранены старые пароли, которые не были обновлены.
Применение
Для решения проблемы, следуйте следующим шагам:
-
Проверка всех устройств и сервисов: Убедитесь, что на всех устройствах пользователя (включая мобильные телефоны) и во всех приложениях никакие учетные данные не хранятся в кэше. Посетите менеджер учетных данных Windows и удалите все старые записи.
-
Проверка RDP-сессий: Поскольку проблема усиливается при использовании RDP, проверьте все открытые сессии на удаленных серверах. Возможно, какая-то из сессий использует старые учетные данные. Закройте все активные сессии и установите заново.
-
Анализ журналов событий: Несмотря на ограниченные права, попробуйте получить доступ к журналам событий на сервере терминалов (если возможно) и на локальных машинах для анализа источников неправильных попыток аутентификации.
-
Обновление учетных данных на всех устройствах: Убедитесь, что пользователь обновил пароль во всех приложениях, которые требуют аутентификации, включая почту, VPN, и другие специализированные программы.
-
Обсуждение с IT-отделом: Если доступ к контроллеру домена невозможен, обсудите со специалистами IT-отдела, имеющими доступ, чтобы они могли предоставить дополнительную информацию из журналов безопасности (например, с использованием команды
Get-WinEvent -FilterHashtable @{logname=’security’; id=4740}), чтобы идентифицировать точное устройство или приложение, являющееся источником проблемы.
Следуя этим шагам, вы сможете систематично определить и устранить причину частых блокировок учетной записи, минимизируя необходимость в переустановке систем и избегая ненужных простоев.