Active Director: trova account di blocco del computer

VarieDec 19, 2021

Se lavori IT in un ambiente Microsoft Active Directory, potresti aver riscontrato problemi in cui l'account di un utente continua a essere bloccato. Ecco un tutorial che mostra tutto ciò che devi sapere su come tenere traccia del computer che sta bloccando qualsiasi account AD.

Trova il controller di dominio in cui si è verificato il blocco

  1. Scarica gli strumenti di blocco e gestione dell'account da Microsoft su qualsiasi computer di dominio in cui disponi dei diritti di amministratore.
  2. Crea una cartella denominata "ALTools" sul desktop, quindi eseguire "ALTools.exe” per estrarre i file in quella cartella.
  3. Dal "ALTools” cartella, apri “LockoutStatus.exe“.
  4. Selezionare "File” > “Seleziona obiettivo“.
  5. Specificare la "Nome utente di destinazione” che continua a essere bloccato e il “Nome di dominio di destinazione“. Se non hai effettuato l'accesso come amministratore di dominio e desideri utilizzare credenziali alternative, seleziona "Usa credenziali alternative", quindi digita un account di dominio "Nome utente“, “Parola d'ordine", e "Nome del dominio“.
  6. Selezionare "ok", e l'utente verrà elencato, insieme al nome del controller di dominio in cui l'account viene bloccato.

Trova il blocco del computer utilizzando i registri eventi

  1. Accedi al controller di dominio in cui è avvenuta l'autenticazione.
  2. Aprire "Visualizzatore eventi“.
  3. Espandi “Registri di Windows” quindi scegli “Sicurezza“.
  4. Selezionare "Filtra registro corrente..." nel riquadro di destra.
  5. Sostituisci il campo che dice "" insieme a "4740“, quindi selezionare “ok“.
  6. Selezionare "Trova" nel riquadro di destra, digita il nome utente dell'account bloccato, quindi seleziona "ok“.
  7. Il Visualizzatore eventi ora dovrebbe visualizzare solo gli eventi in cui l'utente non è riuscito ad accedere e ha bloccato l'account. Puoi fare doppio clic sull'evento per vedere i dettagli, incluso il "Nome del computer del chiamante“, da dove viene il blocco.

Trovare cosa sta bloccando in particolare l'account sul computer

Se il computer ha effettuato l'accesso da prima che la password dell'account venisse modificata o bloccata, un semplice riavvio potrebbe essere sufficiente. Altrimenti, segui questi passaggi per verificare le credenziali archiviate che potrebbero essere legate a un'attività in esecuzione e al blocco dell'account.

  1. Accedere al computer da cui si verificano i blocchi.
  2. Scarica PsTools da Microsoft.
  3. Estrai il singolo PsExec.exe file in "C:\Windows\System32“.
  4. Selezionare "Cominciare“, quindi digitare “CMD“.
  5. Fare clic con il tasto destro del mouse su "Prompt dei comandi“, quindi scegli “Eseguire come amministratore“.
  6. Digita quanto segue, quindi premi "accedere“:
    psexec -i -s -d cmd.exe
  7. Si aprirà un'altra finestra di comando. Digita quanto segue in quella finestra, quindi premi "accedere“:
    rundll32 keymgr.dll, KRShowKeyMgr
  8. Apparirà una finestra che mostra un elenco di nomi utente e password memorizzati. Puoi scegliere di "Rimuovere" elementi di questo elenco che potrebbero bloccare gli account o selezionare "Modificare…” per aggiornare la password.

FAQ

Il registro eventi mi dice che un nome di computer che non esiste nel nostro ambiente AD sta bloccando l'account. Come posso rintracciarlo e fermarlo?

Molto probabilmente, qualcuno ha installato l'app Outlook su un telefono o tablet personale. Il dispositivo sta tentando di autenticarsi tramite un dispositivo diverso, ad esempio un server Microsoft Exchange. Puoi verificarlo con i seguenti passaggi:

  1. Eseguire i passaggi 1-6 come descritto sopra nella "Trova il controller di dominio in cui si è verificato il blocco" sezione.
  2. Accedi al controller di dominio e abilitare la registrazione di debug per il servizio Netlogon.
  3. Attendi che si ripeta il blocco. Una volta fatto, torna allo strumento Stato blocco, fai clic con il pulsante destro del mouse sul controller di dominio, quindi scegli "Apri il registro di accesso alla rete“.
  4. Selezionare "Modificare” > “Trova" e cerca il nome utente bloccato dell'account. Dovrebbe visualizzare il nome del computer del chiamante seguito da un altro nome di computer tra parentesi da cui provengono le richieste.