跟踪被锁的AD账号

豆子最近修改了Sophos的升级账号的密码,结果导致该账户频频被锁。我需要找出究竟是哪些客户端上配置了错误的密码,导致这个问题。方法很简单,也很传统。一句话,找到对应的DC,然后从DC日志上找到对应的登陆用户和计算机。

首先确认组策略里面打开了对应的审计功能。只有enable了Audit Kerberos authentication service, 我们才能查看4771事件。

然后需要下载一个工具,这个工具可以帮助我们定位用户是登陆在哪台域控上

http://www.microsoft.com/en-gb/download/details.aspx?id=15201

输入要查询的用户名

他会列出对应的域控和错误密码的使用时间

登陆对应的域控,查看Security的4771日志即可。

找到对应的时间点,打开

可以看见客户端的IP地址了

然后根据客户端的操作系统,SSH或者RDP连接就行了。

时间: 2024-12-06 20:55:30

跟踪被锁的AD账号的相关文章

谁锁了我的帐号?(AD账号的锁定状态查询)

随着微软基础架构的深入普及和各个企业对信息化建设的重视,在微软产品日益成熟的今天,域环境的应用也越来越广泛.都会接触到很多应用产品.无论是微软系列的产品本身,或者是现在的很多第三方应用,我们都希望能基于员工的域账号做一个统一的身份验证,从而严格控制微软平台上各个应用的访问权限的安全.因此,域账号的验证机制就体现得格外重要. 无论是在甲方公司日常的运维中,还是在乙方公司大大小小的项目中,会有企业的员工反映,自己唯一的域账号时常被锁,或者时常弹出对话框,请求用户输入密码确认.这样就会导致用户无法打开

sharepoint2010人性化的地方--员工离职AD账号禁用(个人网站自动提醒上级经理功能)

sharepoint2010人性化的地方--员工离职AD账号禁用(个人网站自动提醒上级经理功能) 最近有个项目,每个员工都开通了个人网站,但是有些员工离职后禁用AD账号后自动给该员工的个人属性中的“上级经理”指定的经理发一份提醒邮件如下: XXX/Hunk 的“我的网站”已计划在 14 天内删除.作为他们的经理,您现在是其网站的临时所有者.此临时所有权使您可以访问该网站,复制您可能需要的与企业相关的任何信息.若要访问该网站,请使用以下 URL:http://mysite.xxx.com/pers

AD账号锁定逆向查询

最近不知道咋了,好多客户的AD账号经常被锁,而且近期我在51CTO的论坛内也发现有朋友在问,AD账号被锁定了,可以查到在哪个IP,或哪个客户端锁定的吗.   其实微软在早期发布过一款工具,这款工具是可以查到在哪个域控上锁定的,然后通过日志大致可以定位到锁定的客户端,这款工具叫做:Lockoutstatus Lockoutstatus下载地址:https://www.microsoft.com/en-us/download/details.aspx?id=15201   今天简单给大家介绍下如何利

Powershell管理系列(三十九)PowerShell查询和解锁AD账号

-----提供AD\Exchange\Lync\Sharepoint\CRM\SC\O365等微软产品实施及外包,QQ:185426445.电话18666943750 需求:根据要求对集团AD域及下属3个子域的所有AD账号进行统计,查询所有锁定的账号,解锁,并每天早上发送邮件到指向邮箱. Import-Module activedirectory $yuntcloud_Lockeduser = Search-ADAccount -LockedOut -SearchBase "dc=yuntclo

恢复AD账号之后……

前言: 恢复AD账号的文章不少,但是恢复后,往往更重要的事情片字未提,本文从实际操作角度出发,利用事前主动备份,防患未然,适用于每家企业. 某AD管理人员失误,将大领导账号*删*除(删*除也是敏感字?).抓紧将领导账户恢复,其反应一天邮件很少,本应该收到N个群组的来信,有些文件夹提示无权限!.才发现恢复账户后隶属组信息丢失.经过查询,未发现事后恢复群组信息的方法. 既然这样,干脆定期备份一次群组信息. 代码部分: Import-Module ActiveDirectory Get-ADUser 

Ubuntu 通过ldap集成AD账号登录

安装libnss-ldapd(会自动安装nscd.nslcd).libpam-ldapd # apt-get install libnss-ldapd libpam-ldapd  (中间配ldap部分可直接回车或随便写,后面调nslcd.conf文件即可) # vi /etc/nsswitch.conf passwd: files ldap group:  files ldap shadow: files ldap :wq # vi /etc/nslcd.conf uri ldap://10.0

Powershell管理系列(二十五)PowerShell操作之或者AD账号及邮箱信息

-----提供AD\Exchange\Lync\Sharepoint\CRM\SC\O365等微软产品实施及外包,QQ:185426445.电话18666943750 有时候我们需要查询账号的很多属性,但是需要通过不同的命令去获取,有点类似SQL Server里面的多表连接查询,比如查询所有账号的ad账号描述,邮箱名,显示名,邮箱地址,邮箱数目,邮箱大小,存档邮箱大小,存档邮箱数目. ad账号描述---对应AD账号的描述信息,通过Get-adUser 获取 邮箱名,显示名,邮箱地址---对应用户

Poweshell修改AD账号属性

Poweshell修改AD账号属性 最近项目中需要对大批量AD用户属性进行修改,如电话.手机等不唯一属性.顺便整理了个用户属性对应AD字段信息,方便查看. 1.常规属性 2.地址属性 3.电话属性 4.组织属性 ---------------------------------------------------------------------------------------- 步骤1.根据用户要求,我们要对现有的AD账号属性进行修改,需要添加以下字段值: 显示名------displa

Powershell管理系列(四十)PowerShell查询和解锁AD账号(改进后,只发一次邮件)

-----提供AD\Exchange\Lync\Sharepoint\CRM\SC\O365等微软产品实施及外包,QQ:185426445.电话18666943750 需求:根据要求对集团AD域及下属3个子域的所有AD账号进行统计,查询所有锁定的账号,解锁,并每天早上发送邮件到指向邮箱.(之前三十九的基础上略作调整,只发一封邮件即可) Remove-Item C:\get_locked_user\ -Recurse -Force if(!(test-path C:\get_locked_user