Als u met IT werkt in een Microsoft Active Directory-omgeving, heeft u mogelijk problemen ondervonden waarbij het account van een gebruiker steeds wordt geblokkeerd. Hier is een zelfstudie die alles laat zien wat u moet weten over het volgen van de computer die een AD-account vergrendelt.
Vind domeincontroller waar vergrendeling optrad
- Accountvergrendeling en beheertools downloaden van Microsoft op elke domeincomputer waarop u beheerdersrechten hebt.
- Maak een map met de naam "ALTools" op uw bureaublad en voer vervolgens "ALTools.exe” om de bestanden naar die map uit te pakken.
- Van de "ALTools” map, open “LockoutStatus.exe“.
- Selecteer "Bestand” > “Selecteer doel“.
- Specificeer de "Doel gebruikersnaam” die steeds wordt buitengesloten en de “Doeldomeinnaam“. Als u niet bent aangemeld als domeinbeheerder en alternatieve inloggegevens wilt gebruiken, vinkt u de "Alternatieve inloggegevens gebruiken” in en typ vervolgens een domeinaccount “Gebruikersnaam“, “Wachtwoord", en "Domeinnaam“.
- Selecteer "Oke", en de gebruiker wordt vermeld, samen met de naam van de domeincontroller waar het account wordt vergrendeld.
Zoek Computer vergrendelen met gebeurtenislogboeken
- Log in op de domeincontroller waar de authenticatie heeft plaatsgevonden.
- Open "Evenementenkijker“.
- Uitbreiden "Windows-logboeken" kies dan "Veiligheid“.
- Selecteer "Huidig logboek filteren…” in het rechterdeelvenster.
- Vervang het veld met de tekst "" met "4740", selecteer vervolgens "Oke“.
- Selecteer "VindTyp in het rechterdeelvenster de gebruikersnaam van het vergrendelde account en selecteer vervolgensOke“.
- De Event Viewer zou nu alleen gebeurtenissen moeten weergeven waarbij de gebruiker niet kon inloggen en het account vergrendelde. U kunt dubbelklikken op de gebeurtenis om details te zien, waaronder de "Computernaam beller", waar de lock-out vandaan komt.
Vinden wat specifiek de account op de computer vergrendelt
Als de computer is ingelogd sinds voordat het wachtwoord voor het account werd gewijzigd of vergrendeld, kan een eenvoudige herstart de oplossing zijn. Volg anders deze stappen om te controleren op opgeslagen referenties die mogelijk verband houden met het uitvoeren van een taak en het vergrendelen van het account.
- Log in op de computer waar de vergrendelingen vandaan komen.
- Download PsTools van Microsoft.
- Pak de single uit PsExec.exe bestand naar "C:\Windows\System32“.
- Selecteer "Begin", typ vervolgens "CMD“.
- Klik met de rechtermuisknop op "Opdrachtprompt", kies dan "Als administrator uitvoeren“.
- Typ het volgende en druk vervolgens op "Binnenkomen“:
psexec -i -s -d cmd.exe
- Er wordt een ander opdrachtvenster geopend. Typ het volgende in dat venster en druk vervolgens op "Binnenkomen“:
rundll32 keymgr.dll, KRShowKeyMgr
- Er verschijnt een venster met een lijst van opgeslagen gebruikersnamen en wachtwoorden. U kunt ervoor kiezen om “Verwijderen” items uit deze lijst die accounts kunnen blokkeren, of selecteer “Bewerking…” om het wachtwoord bij te werken.
FAQ
Het gebeurtenislogboek vertelt me dat een computernaam die niet bestaat in onze AD-omgeving het account vergrendelt. Hoe kan ik het opsporen en stoppen?
Hoogstwaarschijnlijk heeft iemand de Outlook-app op een persoonlijke telefoon of tablet geïnstalleerd. Het apparaat probeert te verifiëren via een ander apparaat, zoals een Microsoft Exchange-server. U kunt dit verifiëren met de volgende stappen:
- Voer stappen 1-6 uit zoals hierboven beschreven in de "Vind domeincontroller waar vergrendeling optrad" sectie.
- Log in op de domeincontroller en logboekregistratie voor foutopsporing inschakelen voor de Netlogon-service.
- Wacht tot de blokkering opnieuw optreedt. Zodra dit het geval is, gaat u terug naar de Lockout Status-tool, klikt u met de rechtermuisknop op de DC en kiest u "Netlogon-logboek openen“.
- Selecteer "Bewerking” > “Vind” en zoek naar de vergrendelde gebruikersnaam van het account. Het moet de computernaam van de beller weergeven, gevolgd door een andere computernaam tussen accolades waar de verzoeken vandaan komen.