谁锁了我的帐号?(AD账号的锁定状态查询)

随着微软基础架构的深入普及和各个企业对信息化建设的重视,在微软产品日益成熟的今天,域环境的应用也越来越广泛。都会接触到很多应用产品。无论是微软系列的产品本身,或者是现在的很多第三方应用,我们都希望能基于员工的域账号做一个统一的身份验证,从而严格控制微软平台上各个应用的访问权限的安全。因此,域账号的验证机制就体现得格外重要。

无论是在甲方公司日常的运维中,还是在乙方公司大大小小的项目中,会有企业的员工反映,自己唯一的域账号时常被锁,或者时常弹出对话框,请求用户输入密码确认。这样就会导致用户无法打开工作应用,工作软件,甚至工作电脑。这样势必对员工的工作产生了极大的影响。员工很想知道为什么自己在没有输错密码的同时,会有这些验证失败的提示。

本文主要讲述是如何通过微软工具和相关操作,查找定位到验证失败的原因。

借助工具:

LockoutStatus

下载地址一:https://login.live.com/login.srf?wa=wsignin1.0&rpsnv=12&ct=1425535041&rver=6.5.6509.0&wp=MBI&wreply=https:%2F%2Fwww.microsoft.com%2Fen-us%2Fdownload%2Fdetails.aspx%3Fid%3D15201&lc=1033&id=74335

下载地址二:http://down.51cto.com/data/361708

接下来,我们就实际演示一遍如何查询到AD账号被锁的原因

1. 首先将LockoutStatus放到域环境中的任一一台DC上。

2. 使用管理员权限将LockoutStatus打开

3. 点击文件选项File,选择目标Select Target

4. 在目标用户名列写出需要查询的域账号(被锁账号),点击OK

5. 现在开始扫描该账号在所有DC上的被锁记录

6. 扫描完成后,你可以找到很多账号锁定信息,包括DC名,站点,账号状态,错误密码计数器,和最后一次错误密码时间。

7. 找寻到最后一条错误时间记录,找到相应的DC名,远程登录这台域控。

8. 找到这个时间点的日志

9. 用具有权限的管理员账号打开日志文件

10. 选择筛选当前日志来减小日志范围。

11. 在关键词栏中,勾选“审核失败”来作为筛选题目。

12. 筛选完成后,找到该时间点事件日志。我们可以很清晰的看到“源工作站”一栏,意思是该错误密码申请,来自这台客户端 CN1D8DKC

到这里,我们就已经知道了导致账号被锁的错误密码的发送源是来自这台客户机,但是这样并没有完。如果企业内部资产记录和信息安全做的比较好比较严格的企业,可能通过机器名已经能够查到这台客户端属于哪一个员工在使用,就可以拿着以上的证据去找他“摆聊斋”了。但是在很多企业,客户机名是一个无法定位到员工头上的随机数字或者是编号,更或者是恶作剧或者是“栽赃嫁祸”这个时候怎么办呢?不要着急,我们采用Windows Power Shell来“找出凶手”,接下来我们继续看。

13. 用管理员权限打开Power Shell,然后输入一下命令来查询是哪个账户在登录当前这台终端机。

get-wmiobject -computername CN1D8DKC win32_computersystem | format-list username

系统最终查询出的账号是 cn001\cn1wh0u0

也就是说,目前这台名为CN1D8DKC的客户机是域用户cn1wh0u0正在使用。

14. 用dsa.msc命令打开AD与用户管理控制台。

15. 找到该用户的详细信息。

到此,我们终于找到了“罪魁祸首”!当然了,密码被锁的具体原因还要通过我们查出来的这台源客户端电脑的本机日志才能更准确的查出来,原因也有很多,从我们日常的经验来看,大部分原因是因为A用户曾经使用过B用户的电脑,然后在访问某内部网页或者应用时记住了密码。结果过段时间A用户修改了自己的域账号密码,结果B用户这台电脑还是一直在发送老的密码,悲剧就发生了。对待这样的事情,大家还是心平气和的对待这个问题,也可能是各种各样的原因造成的,相信真正使坏的人也确实是极少数。

--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

下面在给大家share几个查询用户信息的命令

1. net user /domain username

2. 查询用户帐号的位置

dsquery user –samid username

3. 将第2步查出的全路径通过命令,查出账号更详细信息

repadmin /showobjmeta 域控名 "CN=马骏一,OU=Chengdu,DC=corp,DC=jbhydro,DC=com"

时间: 2024-10-04 16:49:31

谁锁了我的帐号?(AD账号的锁定状态查询)的相关文章

AD账号锁定逆向查询

最近不知道咋了,好多客户的AD账号经常被锁,而且近期我在51CTO的论坛内也发现有朋友在问,AD账号被锁定了,可以查到在哪个IP,或哪个客户端锁定的吗.   其实微软在早期发布过一款工具,这款工具是可以查到在哪个域控上锁定的,然后通过日志大致可以定位到锁定的客户端,这款工具叫做:Lockoutstatus Lockoutstatus下载地址:https://www.microsoft.com/en-us/download/details.aspx?id=15201   今天简单给大家介绍下如何利

Powershell管理系列(三十九)PowerShell查询和解锁AD账号

-----提供AD\Exchange\Lync\Sharepoint\CRM\SC\O365等微软产品实施及外包,QQ:185426445.电话18666943750 需求:根据要求对集团AD域及下属3个子域的所有AD账号进行统计,查询所有锁定的账号,解锁,并每天早上发送邮件到指向邮箱. Import-Module activedirectory $yuntcloud_Lockeduser = Search-ADAccount -LockedOut -SearchBase "dc=yuntclo

Powershell管理系列(四十)PowerShell查询和解锁AD账号(改进后,只发一次邮件)

-----提供AD\Exchange\Lync\Sharepoint\CRM\SC\O365等微软产品实施及外包,QQ:185426445.电话18666943750 需求:根据要求对集团AD域及下属3个子域的所有AD账号进行统计,查询所有锁定的账号,解锁,并每天早上发送邮件到指向邮箱.(之前三十九的基础上略作调整,只发一封邮件即可) Remove-Item C:\get_locked_user\ -Recurse -Force if(!(test-path C:\get_locked_user

Windows Server 2012 R2中通过IIS实现AD帐号密码修改功能

现在越来越多的企业会对AD帐号进行分类,例如将业务帐号.服务帐号同员工帐号分开管理,那么这类帐号也会因为业务应用特定类型而选择是否开启邮箱功能,再或者有些企业会采用腾讯企业邮箱或网易企业邮箱等等,这些平台本身同AD域是独立的,而且很多企业又使用MAC系统或计算机根本不加域,这时企业内网要搭建OA.WIKI.JIRA等一些需要调用AD中的LDAP让员工登录的系统时,则面临后期密码到期后用户没有入口去修改密码的问题.那么在今天我就要给大家介绍的是如何利用Windows Server 2012 R2中

【AD】取消普通域用户帐号加域权限&授权特定普通域用户加域权限

通常来说,没有做什么特别的设定的话,都是手动加域,且使用的是管理员帐号,这种情况下是有风险的,容易被人记忆密码.所以,如果可以设置一个普通用户帐号,专门用来执行加域操作,就会降低此类风险.其实默认情况下,域每一个普通帐号都可以将10台电脑加入域内,这是一个很大的隐患.估计很多人都没有试过吧. 加域分两种,一种是将新电脑加入域内,一种是将已经加入过域的电脑,因为故障无法登录域或手动退域,原计算机帐号仍在的情况下加入域建立连接.第二种情况又分上次加域使用的帐号和当前加域使用的帐号是否相同且权限是否一

如何在AD中方便查询被锁定的帐号状态和特定条件的查询被锁定的帐号

背景 你们有没有试过这样一个情况,为了加强AD域的帐号安全,防止帐号被恶意的密码枚举,所以在AD域中设置了帐号锁定的策略,当你设置了帐号锁定策略之后,发现真的有很多的用户反馈帐号用不了了,查看这个用户的帐号时原来已经被锁定了,这时肯定就需要解锁. 目的 上了帐号锁定策略后,才知道网络中原来有这么多的不安全,为了能够方便的批量为帐号解锁,另外又想要做一些相关的帐号锁定测试,方便的找出帐号锁定的原因,下面教大家使用AD 管理工具以及小工具,查询出在某个时间点之后被锁定的帐号和单个帐号的状态查询,希望

企业信息化系统基础——AD:使用C#批量创建帐号

企业信息化系统基础——AD:使用C#批量创建帐号 如果一个公司打算使用微软的产品来构建自己的办公自动化系统,那么,建议采用主域控制的方式.那么,必然就要用到活动目录(AD),这样,IT部门就需要为公司的每一个员工来创建域帐号.如果公司比较大的话,这是一个很大的工程.而且,我们会发现,有些工作量基本上是在重复劳动,人力资源部为了给It部门提供人员名单,会录入一次人员的各种信息,比如姓名.工号.所属部门.部门领导.电话号码等等,那么,IT人员在拿到这张表后,他又要重新录入一次.并且常常会因为人为的原

Ubuntu 14.04/16.04使用pbis集成AD域帐号登录

Ubuntu 14.04/16.04使用pbis集成AD域帐号登录: 注:pbis为开源软件,前身为likewise-open 下载pbis deb包略 dpkg -i pbis-open/* /opt/pbis/bin/config UserDomainPrefix ming (设置默认域名前缀,不设置用户名前需加domain\) /opt/pbis/bin/config AssumeDefaultDomain true /opt/pbis/bin/config LoginShellTempl

批量创建AD帐号如何去除空格

在前面文章中介绍过一篇文章,主要讲的是"关于Exchange Server 2010 启用邮箱时MMC控制台崩溃问题处理"方法,其中排错思路中也提到过是由于批量创建帐号过程中部分字段带空格导致的,其实这个是不能够完全避免的,由于毕竟是人工操作出现错误再所难免,完全解决导入数据不带空格其实是有办法的. 方法一:通过Excel的替换将空格去掉. 方法二:利用Excel中的SUBSTITUTE函数法去掉. 方法三:利用Excel中的CLEAN函数去掉. 当然上述都是需要运维人员对Excel中