La cuenta de un usuario sigue bloqueándose en Active Directory. Probablemente sea causado por una aplicación que usa la autenticación de Windows para conectarse a SQL Server.
¿Hay alguna manera de averiguar qué aplicación la está causando y por qué la aplicación podría estar causando intentos fallidos de inicio de sesión?
active-directory
Tony_Henrich
fuente
fuente
Respuestas:
Eche un vistazo a las Herramientas de administración y bloqueo de cuentas disponibles en el Centro de descarga de Microsoft. Específicamente LockoutStatus.exe y EventCombMT.exe. Es posible que no pueda determinar exactamente de dónde proviene el bloqueo, pero debería poder reducirlo un poco para que sea más fácil de ver.
Aquí hay un par de artículos más de Technet que pueden ayudar:
Mantener y monitorear el bloqueo de
cuentas Herramientas de bloqueo de cuentas (descripción de las herramientas en la descarga vinculada anteriormente)
Uso del Netlogon.dll comprobado para rastrear bloqueos de cuentas
Habilitar el registro de depuración para el servicio Net Logon
fuente
Básicamente necesitas la siguiente información
Para buscar primero, una vez que la cuenta está bloqueada, vaya al controlador de dominio primario de su dominio y busque el Id. De evento 644 en el registro de seguridad , que le dará el nombre del nombre de la máquina que llama. Anote el nombre de la máquina y la hora en que se generó el evento.
Para encontrar el proceso o la actividad, vaya a la máquina identificada en la identificación del evento anterior y abra el registro de seguridad y busque la identificación del evento 529 con detalles de la cuenta bloqueada. En ese caso, puede encontrar el tipo de inicio de sesión que debería indicarle cómo la cuenta está intentando autenticarse.
Detalles del evento 529
Detalles del evento 644
fuente
He estado trabajando en la mesa de servicio durante aproximadamente 4 años, si ninguno de los anteriores resuelve sus problemas de bloqueo, intente colocar al usuario afectado en una sección de "política de grupo no aplicada" de AD (para permitir el acceso al panel de control desde su cuenta) y luego haga que inicien sesión y vayan al panel de control, busque Credenciales y luego haga clic en "Credenciales". Lo que aparecerá es que todas las computadoras almacenaron las credenciales (generalmente hay una que está desactualizada, es decir, incorrecta), elimine todas las enteries de la "bóveda" y eso debería resolver el problema sin más problemas. El único efecto secundario de esto es que el usuario tendrá que volver a ingresar sus credenciales la próxima vez que use la aplicación. Espero que ayude a algunas personas
fuente
Hice que un alumno en una clase de PowerShell hiciera una pregunta similar. Necesitaba saber cómo ubicar al cliente donde se estaban bloqueando las cuentas. Encontramos la respuesta usando una combinación de auditoría y PowerShell. A continuación hay un enlace a las instrucciones y el código.
http://mctexpert.blogspot.com/2012/08/where-did-users-account-get-locked-out.html
fuente
Este tema es demasiado antiguo, pero solo quería compartir una herramienta útil si alguien tiene el mismo problema lee este hilo en el futuro.
Lockout Fixer es una herramienta gratuita que le permite determinar rápidamente de dónde provienen las credenciales no válidas. Puede descargar Lockout Fixer
Una vez que descubra la estación de trabajo de origen utilizando la herramienta anterior, descubrir qué aplicación está causando el problema debería ser un poco fácil ...
Además, verifique los servicios, tareas programadas, contraseñas de red guardadas, contraseñas de navegador, unidades de red asignadas, etc.
fuente