Jei dirbate IT „Microsoft Active Directory“ aplinkoje, gali kilti problemų, kai naudotojo paskyra nuolat užrakinama. Čia yra pamoka, kurioje parodyta viskas, ką reikia žinoti apie tai, kaip sekti kompiuterį, kuris užrakina bet kurią AD paskyrą.
Raskite domeno valdiklį, kur įvyko blokavimas
- Atsisiųskite paskyros blokavimo ir valdymo įrankius iš „Microsoft“ bet kuriame domeno kompiuteryje, kuriame turite administratoriaus teises.
- Sukurkite aplanką pavadinimu "ALT įrankiai“ darbalaukyje, tada paleiskite “ALTools.exe“, kad ištrauktumėte failus į tą aplanką.
- Nuo "ALT įrankiai“ aplanką, atidarykite „LockoutStatus.exe“.
- pasirinkite "Failas” > “Pasirinkite tikslą“.
- Nurodykite "Tikslinis vartotojo vardas“, kuris vis užrakinamas ir „Tikslinio domeno pavadinimas“. Jei nesate prisijungę kaip domeno administratorius ir norite naudoti alternatyvius kredencialus, pažymėkite „Naudokite alternatyvius kredencialus“ laukelį, tada įveskite domeno paskyrą “Vartotojo vardas“, “Slaptažodis“, ir „Domeno vardas“.
- pasirinkite " Gerai“, ir vartotojas bus pateiktas kartu su domeno valdiklio pavadinimu, kuriame paskyra užrakinama.
Raskite užrakinimo kompiuterį naudodami įvykių žurnalus
- Prisijunkite prie domeno valdiklio, kuriame buvo atliktas autentifikavimas.
- Atviras "Įvykių peržiūros priemonė“.
- Išskleisti “„Windows“ žurnalai“, tada pasirinkite „Saugumas“.
- pasirinkite "Filtruoti dabartinį žurnalą…“ dešinėje srityje.
- Pakeiskite lauką, kuriame parašyta „" su "4740“, tada pasirinkite „Gerai“.
- pasirinkite "Rasti“ dešinėje srityje įveskite užrakintos paskyros vartotojo vardą, tada pasirinkite „Gerai“.
- Įvykių peržiūros priemonė dabar turėtų rodyti tik tuos įvykius, kai vartotojui nepavyko prisijungti ir užrakinti paskyrą. Galite dukart spustelėti įvykį, kad pamatytumėte išsamią informaciją, įskaitant „Skambinančiojo kompiuterio pavadinimas“, iš kur kyla blokavimas.
Sužinokite, kas konkrečiai yra paskyros užrakinimas kompiuteryje
Jei kompiuteris buvo prisijungęs nuo tada, kai buvo pakeistas ar užrakintas paskyros slaptažodis, paprastas paleidimas iš naujo gali padėti. Kitu atveju atlikite šiuos veiksmus, kad patikrintumėte, ar nėra saugomų kredencialų, kurie gali būti susieti su užduoties vykdymu ir paskyros užraktu.
- Prisijunkite prie kompiuterio, iš kurio įvyksta blokavimas.
- Atsisiųskite „PsTools“ iš „Microsoft“..
- Ištraukite singlą PsExec.exe failą į "C:\Windows\System32“.
- pasirinkite "Pradėti“, tada įveskite „CMD“.
- Dešiniuoju pelės mygtuku spustelėkite "Komandinė eilutė“, tada pasirinkite „Paleisti kaip administratorius“.
- Įveskite toliau pateiktą tekstą, tada paspauskite „Įeikite“:
psexec -i -s -d cmd.exe - Atsidarys kitas komandų langas. Tame lange įveskite šiuos žodžius, tada paspauskite „Įeikite“:
rundll32 keymgr.dll, KRShowKeyMgr - Atsidarys langas, kuriame rodomas išsaugotų naudotojo vardų ir slaptažodžių sąrašas. Galite pasirinkti "Pašalinti“ elementus iš šio sąrašo, kurie gali užrakinti paskyras, arba pasirinkite „Redaguoti…“ norėdami atnaujinti slaptažodį.
DUK
Įvykių žurnalas man sako, kad kompiuterio pavadinimas, kurio nėra mūsų AD aplinkoje, užrakina paskyrą. Kaip man tai susekti ir sustabdyti?
Greičiausiai kažkas įdiegė „Outlook“ programą asmeniniame telefone ar planšetiniame kompiuteryje. Įrenginys bando autentifikuoti per kitą įrenginį, pvz., „Microsoft Exchange“ serverį. Tai galite patikrinti atlikdami šiuos veiksmus:
- Atlikite 1–6 veiksmus, kaip aprašyta aukščiau „Raskite domeno valdiklį, kur įvyko blokavimas" skyrius.
- Prisijunkite prie domeno valdiklio ir įgalinti „Netlogon“ paslaugos derinimo registravimą.
- Palaukite, kol vėl įvyks blokavimas. Kai tai bus padaryta, grįžkite į Lockout Status įrankį, dešiniuoju pelės mygtuku spustelėkite DC, tada pasirinkiteAtidarykite „Netlogon“ žurnalą“.
- pasirinkite "Redaguoti” > “Rasti“ ir ieškokite užrakinto paskyros vartotojo vardo. Skliausteliuose, iš kurių gaunamos užklausos, turėtų būti rodomas skambinančiojo kompiuterio pavadinimas, po kurio eina kitas kompiuterio pavadinimas.
