AD账户锁定排错(未完)

===问题描述===

用户反应他的账户总是被锁定,起初锁定时间一个小时左右,如今已经缩短到了30秒以内

===原因分析===

造成账户锁定的原因

  1. 通过powershell查看用户在两个星期前修改过密码,这也是造成锁定的导火索
  2. 旧的密码凭据还保留在其他服务器或者客户端上,正在尝试进行某种操作
  3. 用户使用的计算机中了病毒或者有人恶意尝试密码

这里只有他一个人被锁定了,可以排除病毒的可能,恶意尝试不可能什么时间段都锁定,也可以排除

附件上传了一个查看账户锁定的工具,在DC上将其安装,输入被锁账户用户名密码就可以查看用户锁定信息、密码最后修改时间等信息

===事件查看===

默认的日志对于我们查看用户锁定来说没有任何参考价值,需要开启账户登录审核以及账户管理审核

要在有PDC操作主机上的DC开启,Netdom query fsmo这条命令查看PDC主机在哪台DC

1)设置本地策略和组策略都可以,最终的结果都是开启了本地审核策略,设置成图中的选项

2)必须刷新组策略,然后使用auditpol/get /category:*  查看审核策略是否生效

3)等待问题重现后查看日志,事件ID为4740的是账户锁定的日志

从中可以看出用户L70082,锁定源则是一台名为Admin-pc的电脑,这不是被锁定用户登录的计算机

以下说明账户解锁和凭据验证的事件ID,附图

账户解锁,事件ID4767,包括管理员手动解锁和锁定时间后自动解锁

用户凭据验证,事件ID4776,此事件和4770尤为重要,排查问题主要收集这两种日志

===问题排查-排查问题PC===

1)于是就在域OU查找名为Admin-pc这台计算机,

2)使用ping命令查看到电脑的IP地址

3)找网络相关人员查询PC是什么部门在使用,即时消息找到部门人员后,开始排查问题,没有异常的服务和进程,任务计划中也没有和锁定账户相关的任务

将用户计算机也开启本地审核策略,等待问题重现后抓取日志

刷新组策略,auditpol/get /category:*查看策略生效结果

4)开启登录事件:可以看到除了本机用户之外其他用户是否在此计算记进行登录

开启进程跟踪:记录用户计算机每一个操作开始和结束,使用的账户名称以及调用的文件

但是结果并没有发现任何L70082(被锁定账户)的线索

5)直接了当,得到用户同意,下班后将其计算机关闭,查看是否还会出现账户锁定现象

就在分分钟之后,账户还是被锁了,源还是Admin-pc,此时已经ping不到目标了

6)到底是怎么回事,目前问题仍在排查,不要走开。。。

时间: 2024-11-05 11:29:49

AD账户锁定排错(未完)的相关文章

AD账户频繁被锁

===问题描述=== 用户反应他的账户总是被锁定,起初锁定时间一个小时左右,如今已经缩短到了30秒以内 ===原因分析=== 造成账户锁定的原因 通过powershell查看用户在两个星期前修改过密码,这也是造成锁定的导火索 旧的密码凭据还保留在其他服务器或者客户端上,正在尝试进行某种操作 用户使用的计算机中了病毒或者有人恶意尝试密码 这里只有他一个人被锁定了,可以排除病毒的可能,恶意尝试不可能什么时间段都锁定,也可以排除 附件上传了一个查看账户锁定的工具,在DC上将其安装,输入被锁账户用户名密

Powershell批量修改AD账户登陆到的计算机

Powershell 批量修改AD账户登陆到的计算机 上个月有个项目中碰到这样一个需求,讲述步骤前先描述下客户的实际情况:因安全考虑需要,域内的计算机之前都已经设置了指定登陆到的计算机,目前的项目是从Lotus邮件系统迁移到Exchange 2010,Lotus工作流迁移到泛微OA,域内账户输入账号和密码后不能登陆到Exchange系统.原因就是设置了账户的登陆到计算机属性,因为Exchange是新上的系统,没在指定范围内,所以需要添加Exchange服务器CAS01,CAS02,Mail,Ma

JAVA通过SSL证书创建MS AD账户及设置密码

近期由于工作需要整理一下自动化的东西,因为公司去年上线了OA,所以公司的入职系统会提交用户的信息到IT部门,最早的做法是入职到了,IT部门收集用户信息在AD中创建对应的用户信息,所以为了提高管理员的工作效率,所以准备实施自动创建AD账户,当OA流程到IT人员审批节点后,IT人员审批后根据人员信息自动创建AD账户,所以整理了一些JAVA创建AD人员信息的信息,但是我们需要注意点的是,对于JAVA语言操作MS AD的一些普通操作是不需要SSL的,但是对于用户密码的重置操作必须使用SSL,当然之前看网

Exp2 后门原理与实践(未完待续)

Exp2 后门原理与实践 实验环境 攻击机 kali 4.14(64位) (IP: 10.0.2.6/24) 靶机 ubuntu 16.04(32位) (IP: 10.0.2.4/24) windows 7 sp1(64位) (IP: 10.0.2.7/24) nc/ncat的使用 nc(全称是netcat)是一个用于TCP/UDP连接和监听的linux工具,有着网络工具中的"瑞士军刀"的美誉.nc的实现版本大致有两种,一种是带有-e或-c 选项可以直接给出执行命令,另一种不支持-e选

whatweb.rb 未完待续

#!/usr/bin/env ruby #表示ruby的执行环境 =begin # ruby中用=begin来表示注释的开始 .$$$ $. .$$$ $. $$$$ $$. .$$$ $$$ .$$$$$$. .$$$$$$$$$$. $$$$ $$. .$$$$$$$. .$$$$$$. $ $$ $$$ $ $$ $$$ $ $$$$$$. $$$$$ $$$$$$ $ $$ $$$ $ $$ $$ $ $$$$$$. $ `$ $$$ $ `$ $$$ $ `$ $$$ $$' $ `$

把握linux内核设计思想系列(未完待续......)

[版权声明:尊重原创,转载请保留出处:blog.csdn.net/shallnet,文章仅供学习交流,请勿用于商业用途] 把握linux内核设计思想(一):系统调用 把握linux内核设计思想(二):硬中断及中断处理 把握linux内核设计思想(三):下半部机制之软中断 把握linux内核设计思想(四):下半部机制之tasklet 把握linux内核设计思想(五):下半部机制之工作队列及几种机制的选择 把握linux内核设计思想(六):内核时钟中断 把握linux内核设计思想(七):内核定时器和

细菌觅食优化算法:理论基础,分析,以及应用(未完)

原作者:Swagatam Das,Arijit Biswas,Sambarta Dasgupta,和Ajith Abraham  [摘 要]细菌觅食优化算法(Bacterial foraging optimization algorithm[BFOA])已经被分布式优化和控制的同行们当作一种全局性的优化算法接受.BFOA是由大肠杆菌的群体觅食行为所启发而总结出来 的.BFOA已经吸引了足够多的研究者的注意,由于它出现在解决真实世界中一些应用领域上优化问题的高效性.E.coli 的群体策略的生物基

Linux设备驱动开发学习(2):Linux设备驱动简介(未完)

(未完待续......)

[译]App Framework 2.1 (1)之 Quickstart (未完待续)

最近有移动App项目,选择了 Hybrid 的框架Cordova  和  App Framework 框架开发. 本来应该从配置循序渐进开始写的,但由于上班时间太忙,这段时间抽不出空来,只能根据心情和兴趣,想到哪写到哪,前面的部分以后慢慢补上. App Framework 前生是是叫 jqMobi 注意大家不要和 jQuery Mobile 混淆了,它们是两个不同的框架,一开始我还真混淆了0.01秒. 这里我先翻译一下Quickstart 部分,一是自己工作上用的上,二是也想顺便练练英文,最关键