Active Directory: Znajdź konto blokujące komputer

RóżneDec 19, 2021

Jeśli pracujesz w środowisku IT w środowisku Microsoft Active Directory, możesz napotkać problemy polegające na tym, że konto użytkownika jest ciągle blokowane. Oto samouczek pokazujący wszystko, co musisz wiedzieć o tym, jak śledzić komputer, który blokuje dowolne konto AD.

Znajdź kontroler domeny, w którym wystąpiła blokada

  1. Pobierz narzędzia do blokowania konta i zarządzania od firmy Microsoft na dowolnym komputerze domeny, na którym masz uprawnienia administratora.
  2. Utwórz folder o nazwie „ALNarzędzia” na pulpicie, a następnie uruchom „ALTools.exe”, aby wyodrębnić pliki do tego folderu.
  3. Z „ALNarzędzia” folder, otwórz “LockoutStatus.exe“.
  4. Wybierz "Plik” > “Wybierz cel“.
  5. Określić "Nazwa użytkownika docelowego”, który jest ciągle blokowany, a „Nazwa domeny docelowej“. Jeśli nie jesteś zalogowany jako administrator domeny i chcesz użyć alternatywnych danych logowania, zaznacz „Użyj alternatywnych poświadczeń”, a następnie wpisz konto domeny”Nazwa Użytkownika“, “Hasło", oraz "Nazwa domeny“.
  6. Wybierz "
    ok“, a użytkownik zostanie wyświetlony wraz z nazwą kontrolera domeny, na którym konto jest blokowane.

Znajdź blokujący komputer za pomocą dzienników zdarzeń

  1. Zaloguj się do kontrolera domeny, w którym miało miejsce uwierzytelnianie.
  2. Otwarty "Podgląd zdarzeń“.
  3. Zwiększać "Dzienniki Windows" następnie wybierz "Bezpieczeństwo“.
  4. Wybierz "Filtruj bieżący dziennik…” w prawym okienku.
  5. Zastąp pole z napisem „" z "4740„, a następnie wybierz „ok“.
  6. Wybierz "Odnaleźć” w prawym okienku wpisz nazwę użytkownika zablokowanego konta, a następnie wybierz „ok“.
  7. Podgląd zdarzeń powinien teraz wyświetlać tylko zdarzenia, w których użytkownik nie zalogował się i zablokował konto. Możesz dwukrotnie kliknąć wydarzenie, aby zobaczyć szczegóły, w tym „Nazwa komputera dzwoniącego„, skąd pochodzi blokada.

Znajdowanie, co konkretnie oznacza blokowanie konta na komputerze

Jeśli komputer był zalogowany przed zmianą lub zablokowaniem hasła do konta, prosty restart może załatwić sprawę. W przeciwnym razie wykonaj następujące kroki, aby sprawdzić przechowywane poświadczenia, które mogą być powiązane z uruchomionym zadaniem i blokowaniem konta.

  1. Zaloguj się do komputera, z którego występują blokady.
  2. Pobierz PsTools od Microsoft.
  3. Wyodrębnij singiel PsExec.exe plik do „C:\Windows\System32“.
  4. Wybierz "Początek„, a następnie wpisz „CMD“.
  5. Kliknij prawym przyciskiem myszy „Wiersz polecenia", następnie wybierz "Uruchom jako administrator“.
  6. Wpisz następujące polecenie, a następnie naciśnij „Wejść“:
    psexec -i -s -d cmd.exe
  7. Otworzy się kolejne okno poleceń. Wpisz następujące polecenie w tym oknie, a następnie naciśnij „Wejść“:
    rundll32 keymgr.dll, KRShowKeyMgr
  8. Pojawi się okno z listą zapisanych nazw użytkowników i haseł. Możesz wybrać „Usunąć” elementy z tej listy, które mogą blokować konta, lub wybierz „Edytować…”, aby zaktualizować hasło.

FAQ

Dziennik zdarzeń informuje mnie, że nazwa komputera, która nie istnieje w naszym środowisku AD, blokuje konto. Jak go wyśledzić i zatrzymać?

Najprawdopodobniej ktoś zainstalował aplikację Outlook na osobistym telefonie lub tablecie. Urządzenie próbuje uwierzytelnić się za pośrednictwem innego urządzenia, takiego jak serwer Microsoft Exchange. Możesz to sprawdzić, wykonując następujące czynności:

  1. Wykonaj kroki 1-6, jak opisano powyżej w „Znajdź kontroler domeny, w którym wystąpiła blokada" Sekcja.
  2. Zaloguj się do kontrolera domeny i włączyć rejestrowanie debugowania dla usługi Netlogon.
  3. Poczekaj, aż blokada ponownie się pojawi. Gdy to nastąpi, wróć do narzędzia Stan blokady, kliknij prawym przyciskiem myszy DC, a następnie wybierz „Otwórz dziennik Netlogon“.
  4. Wybierz "Edytować” > “Odnaleźć” i wyszukaj zablokowaną nazwę użytkownika konta. Powinien wyświetlać nazwę komputera wywołującego, a następnie nazwę innego komputera w nawiasach klamrowych, z którego pochodzą żądania.