Active Director: Computersperrkonto finden

Wenn Sie mit der IT in einer Microsoft Active Directory-Umgebung arbeiten, sind möglicherweise Probleme aufgetreten, bei denen das Konto eines Benutzers immer wieder gesperrt wird. Hier ist ein Tutorial, das alles zeigt, was Sie wissen müssen, um den Computer zu verfolgen, der ein AD-Konto sperrt.

Domänencontroller suchen, bei dem eine Sperre aufgetreten ist

  1. Laden Sie Kontosperrungs- und Verwaltungstools herunter von Microsoft auf jedem Domänencomputer, auf dem Sie über Administratorrechte verfügen.
  2. Erstellen Sie einen Ordner mit dem Namen „ALTools“ auf Ihrem Desktop, dann führen Sie “ALTools.exe“, um die Dateien in diesen Ordner zu extrahieren.
  3. Von dem "ALTools„Ordner, öffnen“LockoutStatus.exe“.
  4. Auswählen "Datei” > “Ziel auswählen“.
  5. Präzisiere das "Zielbenutzername“, das immer wieder ausgesperrt wird und die “Zieldomänenname“. Wenn Sie nicht als Domänenadministrator angemeldet sind und alternative Anmeldeinformationen verwenden möchten, aktivieren Sie das „Verwenden Sie alternative Anmeldeinformationen
    ” Kästchen, dann geben Sie ein Domänenkonto ein “Nutzername“, “Passwort", und "Domänenname“.
  6. Auswählen "OK“, und der Benutzer wird zusammen mit dem Domänencontrollernamen aufgelistet, für den das Konto gesperrt wird.

Sperren des Computers mithilfe von Ereignisprotokollen finden

  1. Melden Sie sich bei dem Domänencontroller an, auf dem die Authentifizierung stattgefunden hat.
  2. Offen "Ereignisanzeige“.
  3. Expandieren "Windows-Protokolle" dann wähle "Sicherheit“.
  4. Auswählen "Aktuelles Protokoll filtern…“ im rechten Fenster.
  5. Ersetzen Sie das Feld mit der Aufschrift „" mit "4740“, dann wählen Sie “OK“.
  6. Auswählen "Finden“ Geben Sie im rechten Bereich den Benutzernamen des gesperrten Kontos ein und wählen Sie dann „OK“.
  7. Die Ereignisanzeige sollte jetzt nur Ereignisse anzeigen, bei denen sich der Benutzer nicht anmelden und das Konto gesperrt hat. Sie können auf das Ereignis doppelklicken, um Details anzuzeigen, einschließlich der „Computername des Anrufers“, woher die Sperre kommt.

Finden Sie heraus, was speziell das Sperren des Kontos auf dem Computer ist

Wenn der Computer bereits angemeldet war, bevor das Passwort für das Konto geändert oder gesperrt wurde, kann ein einfacher Neustart Abhilfe schaffen. Führen Sie andernfalls diese Schritte aus, um nach gespeicherten Anmeldeinformationen zu suchen, die möglicherweise mit der Ausführung einer Aufgabe und dem Sperren des Kontos verknüpft sind.

  1. Melden Sie sich bei dem Computer an, von dem aus die Sperren auftreten.
  2. PsTools von Microsoft herunterladen.
  3. Extrahiere die Single PsExec.exe Datei an „C:\Windows\System32“.
  4. Auswählen "Start“, dann tippe “CMD“.
  5. Rechtsklick "Eingabeaufforderung", dann wähle "Als Administrator ausführen“.
  6. Geben Sie Folgendes ein und drücken Sie dann „Eintreten“:
    psexec -i -s -d cmd.exe
  7. Es öffnet sich ein weiteres Befehlsfenster. Geben Sie Folgendes in dieses Fenster ein und drücken Sie dann „Eintreten“:
    rundll32 keymgr.dll, KRShowKeyMgr
  8. Ein Fenster mit einer Liste der gespeicherten Benutzernamen und Passwörter wird angezeigt. Sie können wählen, „Entfernen” Elemente aus dieser Liste, die möglicherweise Konten sperren, oder wählen Sie “Bearbeiten…“, um das Passwort zu aktualisieren.

FAQ

Das Ereignisprotokoll sagt mir, dass ein Computername, der in unserer AD-Umgebung nicht existiert, das Konto sperrt. Wie kann ich es aufspüren und stoppen?

Höchstwahrscheinlich hat jemand die Outlook-App auf einem persönlichen Telefon oder Tablet installiert. Das Gerät versucht, sich über ein anderes Gerät wie einen Microsoft Exchange-Server zu authentifizieren. Sie können dies mit den folgenden Schritten überprüfen:

  1. Führen Sie die Schritte 1-6 wie oben im Abschnitt „Domänencontroller suchen, bei dem eine Sperre aufgetreten ist" Sektion.
  2. Melden Sie sich am Domänencontroller an und Debug-Protokollierung für den Netlogon-Dienst aktivieren.
  3. Warten Sie, bis die Sperre erneut auftritt. Sobald dies der Fall ist, kehren Sie zum Sperrstatus-Tool zurück, klicken Sie mit der rechten Maustaste auf den DC und wählen Sie dann "Netlogon-Log öffnen“.
  4. Auswählen "Bearbeiten” > “Finden“ und suchen Sie nach dem gesperrten Benutzernamen des Kontos. Es sollte den Computernamen des Anrufers gefolgt von einem anderen Computernamen in geschweiften Klammern anzeigen, von dem die Anforderungen stammen.