AD账号锁定逆向查询

最近不知道咋了,好多客户的AD账号经常被锁,而且近期我在51CTO的论坛内也发现有朋友在问,AD账号被锁定了,可以查到在哪个IP,或哪个客户端锁定的吗。

其实微软在早期发布过一款工具,这款工具是可以查到在哪个域控上锁定的,然后通过日志大致可以定位到锁定的客户端,这款工具叫做:Lockoutstatus

Lockoutstatus下载地址:https://www.microsoft.com/en-us/download/details.aspx?id=15201

  • 今天简单给大家介绍下如何利用这款工具逆向追踪到锁定的客户端的。废话不多说,首先我们下载Lockoutstatus,并拷贝到任意一台域控服务器上,安装我就不过多介绍了,其实就是一路下一步,但需要大家记住的是下面这个截图,也就是您的安装路径,因为一会安装完成后需要到这个路径下找到安装完成的应用程序,程序自身不会创建快捷方式。

  • 安装完成后大家可以手动创建一个快捷方式。

  • 为了演示,我随便使一个账号锁定,如图所示:

  • 那么接下来,我们双击刚才安装完成那个软件,如图所示:

  • 点击文件选项File,选择目标Select Target

  • 在目标用户名列写出需要查询的域账号(被锁账号),点击OK

  • 扫描完成后,你可以找到很多账号锁定信息,包括DC名,站点,账号状态,错误密码计数器,和最后一次错误密码时间。(由于我这是测试环境,只有一台AD,真实环境会有很多,一定要找那个最后一次错误密码时间)

  • 找寻到最后一条错误时间记录,并找到相应的DC名,登录到这台域控。

  • 登录后打开事件查看器,选择安全日志(如果时间长了的话,可以找日志备份)

  • 如果日志太多,可以使用筛选功能进行查找。

  • 根据刚才工具提示,我的测试账号是在13:22:10锁定的,所以我就找这个时间的日志。

  • 我们可以清楚的看到,我的账号是在EXSRV01这台计算机上锁定的。
  • 其实到这里还算结束,其实我们是可以看到最后一次登录这台(EXSRV01)电脑的用户是谁。
  • 用管理员权限打开Power Shell,然后输入一下命令来查询是哪个账户在登录当前这台终端机。

get-wmiobject -computername 计算机名称 win32_computersystem | format-list username

  • 系统最终查询出的账号是 ITSoul\Administrator
  • 也就是说,目前这台名为EXSRV01的客户机是域用户Administrator正在使用。

亲们剩下的就是你们可以指着用户的鼻子质问他了。

原文地址:http://blog.51cto.com/itsoul/2062819

时间: 2024-10-09 08:20:06

AD账号锁定逆向查询的相关文章

AD账号锁定查找锁定来源方法

选择windows的事件查看器---windows日志----安全----筛选当前日志 使用XML过滤语法查询,将默认的select语句替换成如下select语句, <QueryList><Query Id="0" Path="Security"><Select Path="Security">* [EventData[Data[@Name='TargetUserName']='tangjunyi']]<

谁锁了我的帐号?(AD账号的锁定状态查询)

随着微软基础架构的深入普及和各个企业对信息化建设的重视,在微软产品日益成熟的今天,域环境的应用也越来越广泛.都会接触到很多应用产品.无论是微软系列的产品本身,或者是现在的很多第三方应用,我们都希望能基于员工的域账号做一个统一的身份验证,从而严格控制微软平台上各个应用的访问权限的安全.因此,域账号的验证机制就体现得格外重要. 无论是在甲方公司日常的运维中,还是在乙方公司大大小小的项目中,会有企业的员工反映,自己唯一的域账号时常被锁,或者时常弹出对话框,请求用户输入密码确认.这样就会导致用户无法打开

Powershell管理系列(三十九)PowerShell查询和解锁AD账号

-----提供AD\Exchange\Lync\Sharepoint\CRM\SC\O365等微软产品实施及外包,QQ:185426445.电话18666943750 需求:根据要求对集团AD域及下属3个子域的所有AD账号进行统计,查询所有锁定的账号,解锁,并每天早上发送邮件到指向邮箱. Import-Module activedirectory $yuntcloud_Lockeduser = Search-ADAccount -LockedOut -SearchBase "dc=yuntclo

Powershell管理系列(四十)PowerShell查询和解锁AD账号(改进后,只发一次邮件)

-----提供AD\Exchange\Lync\Sharepoint\CRM\SC\O365等微软产品实施及外包,QQ:185426445.电话18666943750 需求:根据要求对集团AD域及下属3个子域的所有AD账号进行统计,查询所有锁定的账号,解锁,并每天早上发送邮件到指向邮箱.(之前三十九的基础上略作调整,只发一封邮件即可) Remove-Item C:\get_locked_user\ -Recurse -Force if(!(test-path C:\get_locked_user

Powershell管理系列(十五)查询最近一个月未登录的AD账号和Exchange账号

-----提供AD\Exchange\Lync\Sharepoint\CRM\SC\O365等微软产品实施及外包,QQ:185426445.电话18666943750 今天听到群里有朋友问,想查询最近1个月未登录的AD账号,我们可以通过如下的Powershell来实现: 需求1.查询OU中所有账号的创建时间\SID\上次修改密码时间\最后一次登录时间 PowerShell查询指定OU中所有账号的创建时间\SID\上次修改密码时间\最后一次登录时间,可以通过如下命令完成:PS C:\Users\a

通过游戏学python 3.6 第一季 第九章 实例项目 猜数字游戏--核心代码--猜测次数--随机函数和屏蔽错误代码--优化代码及注释--简单账号密码登陆--账号的注册查询和密码的找回修改--锁定账号--锁定次数--菜单功能&#39;menufile

通过游戏学python 3.6 第一季 第九章 实例项目 猜数字游戏--核心代码--猜测次数--随机函数和屏蔽错误代码--优化代码及注释--简单账号密码登陆--账号的注册查询和密码的找回修改--锁定账号--锁定次数--菜单功能'menufile 1 #猜数字--核心代码--猜测次数--随机函数和屏蔽错误代码---优化代码及注释--简单账号密码登陆--账号的注册查询和密码的找回修改--锁定账号--锁定次数--菜单功能'menufile' 2 #!usr/bin/env python 3 #-*-c

通过游戏学python 3.6 第一季 第七章 实例项目 猜数字游戏--核心代码--猜测次数--随机函数和屏蔽错误代码--优化代码及注释--简单账号密码登陆--账号的注册查询和密码的找回修改--锁定账号

#猜数字--核心代码--猜测次数--随机函数和屏蔽错误代码---优化代码及注释--简单账号密码登陆--账号的注册查询和密码的找回修改--锁定账号 1 #猜数字--核心代码--猜测次数--随机函数和屏蔽错误代码---优化代码及注释--简单账号密码登陆--账号的注册查询和密码的找回修改--锁定账号 2 #!usr/bin/env python 3 #-*-coding:utf-8-*- 4 #QQ124111294 5 6 7 import random 8 number = random.rand

Powershell管理系列(三十三)PowerShell操作之查询AD账号对应的OU存放位置

-----提供AD\Exchange\Lync\Sharepoint\CRM\SC\O365等微软产品实施及外包,QQ:185426445.电话18666943750 需求:找出每个AD用户所对应的OU所在位置 步骤1:2008R2的AD域环境,命令如下 Import-Module activedirectory $user=Get-ADUser -Filter * -Properties * -SearchBase "dc=XXX,dc=com" |select -ExpandPro

AD账号被频繁锁定的解决方案

很多企业为了方便管理都使用了域环境,账号.资源的统一管理得确大大提高了工作效率,而有时候也有一些小小的烦恼需要我们去解决. 比方如账号被锁定,有人会说,解锁啊,这有什么.没错,当企业内做了账号锁定策略后,限定次数的错误密码登陆会使账号被锁定,管理员在后台可以帮助用户解锁. 但是,如果是账号莫名其妙被锁定,而且频繁被锁定,这个时候,我们应该怎么办呢? 微软提供给了我们一个非常好用的工具ALTools中的LockoutStatus,这个工具可以帮助我们查看,域账号在什么时间哪台DC上被锁定,从面方便