Active Directory: Finn datamaskinlåsekonto

MiscellaneaDec 19, 2021

Hvis du jobber med IT i et Microsoft Active Directory-miljø, kan det hende du har opplevd problemer der en brukers konto stadig blir låst ute. Her er en opplæring som viser alt du trenger å vite om hvordan du sporer datamaskinen som låser en AD-konto.

Finn domenekontroller der lockout oppstod

  1. Last ned kontosperre og administrasjonsverktøy fra Microsoft på alle domenedatamaskiner der du har administratorrettigheter.
  2. Opprett en mappe med navnet "ALT-verktøy" på skrivebordet, og kjør deretter "ALTools.exe" for å pakke ut filene til den mappen.
  3. Fra "ALT-verktøy"-mappen, åpne "LockoutStatus.exe“.
  4. Plukke ut "Fil” > “Velg mål“.
  5. Spesifiser "Målbrukernavn" som stadig blir låst ute og "Måldomenenavn“. Hvis du ikke er logget på som domeneadministrator og ønsker å bruke alternativ legitimasjon, sjekk "Bruk alternativ legitimasjon"-boksen, og skriv deretter inn en domenekonto "Brukernavn“, “Passord", og"Domenenavn“.
  6. Plukke ut "OK", og brukeren vil bli oppført sammen med domenekontrollernavnet der kontoen blir låst.

Finn låsedatamaskin ved hjelp av hendelseslogger

  1. Logg på domenekontrolleren der autentiseringen fant sted.
  2. Åpen "Event Viewer“.
  3. Utvid "Windows-logger" velg deretter "Sikkerhet“.
  4. Plukke ut "Filtrer gjeldende logg..." på høyre rute.
  5. Erstatt feltet som sier "" med "4740", velg deretter "OK“.
  6. Plukke ut "Finne" i høyre rute, skriv inn brukernavnet til den låste kontoen, og velg deretter "OK“.
  7. Event Viewer skal nå bare vise hendelser der brukeren ikke klarte å logge på og låste kontoen. Du kan dobbeltklikke på hendelsen for å se detaljer, inkludert "Datamaskinnavn som ringer", som er der lockouten kommer fra.

Finne hva som spesifikt er å låse konto på datamaskinen

Hvis datamaskinen har vært pålogget siden før passordet for kontoen ble endret eller låst, kan en enkel omstart gjøre susen. Ellers følger du disse trinnene for å se etter lagret legitimasjon som kan være knyttet til å kjøre en oppgave og låse kontoen.

  1. Logg på datamaskinen der sperringene skjer fra.
  2. Last ned PsTools fra Microsoft.
  3. Trekk ut singelen PsExec.exe fil til "C:\Windows\System32“.
  4. Plukke ut "Start", skriv deretter "CMD“.
  5. Høyreklikk "Ledeteksten", velg deretter"Kjør som administrator“.
  6. Skriv inn følgende, og trykk deretter "Tast inn“:
    psexec -i -s -d cmd.exe
  7. Et annet kommandovindu åpnes. Skriv inn følgende i det vinduet, og trykk deretter "Tast inn“:
    rundll32 keymgr.dll, KRShowKeyMgr
  8. Et vindu som viser en liste over lagrede brukernavn og passord vises. Du kan velge å "Ta bort" elementer fra denne listen som kan låse kontoer, eller velg "Redigere…" for å oppdatere passordet.

FAQ

Hendelsesloggen forteller meg at et datamaskinnavn som ikke eksisterer i vårt AD-miljø låser kontoen. Hvordan sporer jeg det opp og stopper det?

Mest sannsynlig har noen installert Outlook-appen på en personlig telefon eller nettbrett. Enheten prøver å autentisere via en annen enhet, for eksempel en Microsoft Exchange-server. Du kan bekrefte dette med følgende trinn:

  1. Utfør trinn 1-6 som skissert ovenfor i "Finn domenekontroller der lockout oppstod" seksjon.
  2. Logg inn på domenekontrolleren og aktiver feilsøkingslogging for Netlogon-tjenesten.
  3. Vent til lockouten skjer igjen. Når den har gjort det, gå tilbake til Lockout Status-verktøyet, høyreklikk DC-en, og velg deretter "Åpne Netlogon-logg“.
  4. Plukke ut "Redigere” > “Finne” og søk etter det låste brukernavnet til kontoen. Den skal vise datamaskinnavnet som ringer etterfulgt av et annet datamaskinnavn i parentes der forespørslene kommer fra.