L'account AD è stato bloccato


0

Abbiamo un account di servizio nel nostro ambiente AD (Windows 2003) bloccato di frequente.

alcune informazioni di base:

  • Dominio Windows 2003
  • l'account è impostato per non scadere mai
  • non abbiamo mai cambiato la password di questo account
  • L'intervallo tra ogni volta che sblocco l'account è totalmente casuale.

A volte, l'account viene eseguito normalmente per una settimana o due senza alcun problema; mentre un'altra volta, si blocca di nuovo il giorno dopo lo sblocco

Inizialmente, ho pensato che l'account potesse essere utilizzato da un processo o da un processo di pianificazione o da qualcosa con una password non configurata correttamente. Ho controllato i registri di sicurezza su tutti i controller di dominio ma non ho trovato nulla. Ho provato anche lo strumento di blocco dell'account Microsoft e non ho avuto fortuna.

Abbiamo controllato il traffico di rete interno (supponendo che il blocco sia attivato da un server / computer endpoint), ma non siamo riusciti a trovare alcun tentativo di accesso non valido utilizzando questo account.

Abbiamo molti altri account di servizio nello stesso ambiente AD e nessuno di questi presenta lo stesso problema.

Sono davvero a corto di indizio .... qualsiasi aiuto è molto apprezzato!

Molte grazie!


un'ulteriore informazione - credo che abbia qualcosa a che fare con la data di scadenza (anche se è impostata su mai scaduta), quindi ho provato a dargli una data di scadenza come il 31 dicembre 2050 ma ciò non ha cambiato nulla. L'account è stato nuovamente bloccato pochi giorni dopo averlo sbloccato l'ultima volta.
Sun Cleverland,

Quindi, quando dici che abbiamo un account di servizio nel nostro ambiente AD (Windows 2003) è stato bloccato frequentemente ma non riesci a trovare nulla di rilevante per questo accesso in TUTTI i registri del visualizzatore di eventi di sicurezza DC ... Qual è l'indicatore che l'account è bloccato su? Qualcosa non funziona con questo servizio e in tal caso per cosa lo stai usando come l'automazione FTP, alcuni servizi server che fanno qualcosa, ecc. Suppongo che qualcuno non stia vedendo solo gli utenti AD e i comandi di computer o NET USER, quindi dai una piccola spiegazione di almeno ciò che questo server sta toccando risorse di dominio e funzioni sagge.
Pimp Juice IT

questo è un account di servizio utilizzato a scopo di backup. Non appena è stato bloccato, il processo di backup fallirà. Questo account è stato utilizzato dal servizio di backup per anni e il problema è iniziato solo alcuni mesi fa. A condizione che non sia stato modificato nulla nel processo di backup e, come ho già detto, la password non è stata modificata anche su questo account .... se è bloccato da un tentativo di accesso non valido, dovrebbe esserci qualcosa registrato nel Visualizzatore eventi.
Sun Cleverland,

Che cosa dice il messaggio di errore nel software di backup quando si verifica l'errore e che cosa stai usando software saggio come ArcServe. ecc. ed è il backup tramite rete o un agente client? Suppongo che il processo di backup non vada a buon fine su vari server e non solo su uno, quindi non ci sono punti in comune?
Pimp Juice IT

È ArcServe. Il messaggio è "La richiesta è stata negata dall'agente. Il nome utente / o la password non sono validi (Nodo = nome macchina @ indirizzo IP)". Poiché i lavori non sono stati modificati per molto tempo (non sono stati aggiunti nuovi nodi), utilizza la stessa combinazione account / password da anni. E come descritto, succede in modo casuale. Se uno dei processi di backup ha un nome utente / una password errati, suppongo che il blocco dovrebbe avvenire regolarmente (tutti i processi vengono eseguiti settimanalmente o giornalmente in un determinato orario programmato). La parte strana di questa cosa di blocco è che a volte possiamo correre senza problemi per una settimana o due
Sun Cleverland,

Risposte:


0

Per scoprire il motivo del blocco dell'account, è necessario configurare l'impostazione avanzata del criterio di controllo. Ti aiuterà a tenere traccia e controllare gli eventi di accesso nell'oggetto Criteri di gruppo. Dopo aver configurato correttamente la politica, è possibile eseguire una query nel registro eventi di sicurezza per l'ID evento 4740. Fare riferimento all'articolo seguente che riepiloga le informazioni in dettaglio - https://community.spiceworks.com/how_to/128213-identify-the- fonte-di-conto-blocchi-in-active-directory


Benvenuto in Super User. Potete fornire istruzioni su come configurare l'impostazione dei criteri e cosa cercare nell'ID evento 4740? Sebbene il collegamento al materiale di origine sia utile e incoraggiato, su questo sito di domande e risposte valutiamo le risposte definitive che rimangono utili anche quando i collegamenti esterni vengono interrotti. Grazie per aver contribuito.
Twisty Impersonator

ho controllato il registro di controllo ma non si sono verificati eventi di sicurezza non riusciti utilizzando questo account specifico. Ho provato anche lo strumento di blocco dell'account microsoft che non ha trovato nulla. Voglio sapere, è possibile, che l'account non sia effettivamente utilizzato da alcun programma / script, ma l'AD stesso scade l'account in qualche modo (anche se l'account è impostato per non scadere mai)
Sun Cleverland
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.