Active Directory: Hitta datorlåskonto

MiscellaneaDec 19, 2021

Om du arbetar med IT i en Microsoft Active Directory-miljö kan du ha upplevt problem där en användares konto hela tiden låses ute. Här är en handledning som visar allt du behöver veta om hur du spårar datorn som låser ett AD-konto.

Hitta domänkontrollant där lockout inträffade

  1. Ladda ner kontolåsnings- och hanteringsverktyg från Microsoft på valfri domändator där du har administratörsrättigheter.
  2. Skapa en mapp som heter "ALT-verktyg" på ditt skrivbord och kör sedan "ALTools.exe” för att extrahera filerna till den mappen.
  3. Från "ALT-verktyg" mapp, öppna "LockoutStatus.exe“.
  4. Välj "Fil” > “Välj mål“.
  5. Specificera "Målanvändarnamn” som hela tiden blir utelåst och ”Måldomännamn“. Om du inte är inloggad som domänadministratör och vill använda alternativa referenser, kontrollera "Använd alternativa inloggningsuppgifter" rutan, skriv sedan ett domänkonto "Användarnamn“, “Lösenord", och "Domän namn“.
  6. Välj "OK", och användaren kommer att listas tillsammans med domänkontrollantens namn där kontot låses.

Hitta låsdator med hjälp av händelseloggar

  1. Logga in på domänkontrollanten där autentiseringen ägde rum.
  2. Öppen "Loggboken“.
  3. Bygga ut "Windows-loggar" sedan Välj "säkerhet“.
  4. Välj "Filtrera aktuell logg...” på den högra rutan.
  5. Byt ut fältet som säger "" med "4740", välj sedan "OK“.
  6. Välj "Hitta" i den högra rutan, skriv användarnamnet för det låsta kontot och välj sedan "OK“.
  7. Händelsevisaren ska nu bara visa händelser där användaren misslyckades med att logga in och låste kontot. Du kan dubbelklicka på händelsen för att se detaljer, inklusive "Uppringarens datornamn", vilket är varifrån lockouten kommer.

Hitta vad som specifikt är att låsa konto på datorn

Om datorn har varit inloggad sedan innan lösenordet för kontot ändrades eller låstes kan en enkel omstart göra susen. Annars, följ dessa steg för att leta efter lagrade autentiseringsuppgifter som kan vara kopplade till att köra en uppgift och låsa kontot.

  1. Logga in på datorn där låsningarna sker ifrån.
  2. Ladda ner PsTools från Microsoft.
  3. Extrahera singeln PsExec.exe fil till "C:\Windows\System32“.
  4. Välj "Start", skriv sedan "CMD“.
  5. Högerklicka "Kommandotolken", sedan Välj "Kör som administratör“.
  6. Skriv följande och tryck sedan på "Stiga på“:
    psexec -i -s -d cmd.exe
  7. Ett annat kommandofönster öppnas. Skriv följande i det fönstret och tryck sedan på "Stiga på“:
    rundll32 keymgr.dll, KRShowKeyMgr
  8. Ett fönster som visar en lista över lagrade användarnamn och lösenord visas. Du kan välja att "Avlägsna" objekt från den här listan som kan låsa konton, eller välj "Redigera…” för att uppdatera lösenordet.

FAQ

Händelseloggen talar om för mig att ett datornamn som inte finns i vår AD-miljö låser kontot. Hur spårar jag det och stoppar det?

Troligtvis har någon installerat Outlook-appen på en personlig telefon eller surfplatta. Enheten försöker autentisera via en annan enhet, till exempel en Microsoft Exchange-server. Du kan verifiera detta med följande steg:

  1. Utför steg 1-6 enligt beskrivningen ovan i "Hitta domänkontrollant där lockout inträffade" sektion.
  2. Logga in på domänkontrollanten och aktivera felsökningsloggning för Netlogon-tjänsten.
  3. Vänta tills lockouten inträffar igen. När den har gjort det, gå tillbaka till Lockout Status-verktyget, högerklicka på DC och välj sedan "Öppna Netlogon-logg“.
  4. Välj "Redigera” > “Hitta” och sök efter det låsta användarnamnet för kontot. Den ska visa uppringarens datornamn följt av ett annat datornamn inom klammerparenteser där förfrågningarna kommer ifrån.