înregistrare Logare
Puncte:0
lucki1000 avatar Server

AD îmi blochează contul la fiecare 5 minute, dar fără motiv?

drapel cn
lucki1000

Știu că există multe fire care sunt asemănătoare cu ale mele, dar pot fi prea prost să obțin toate aceste informații.

Problema mea este că mi-am schimbat parola și, deoarece sunt blocat la fiecare ~5 minute, nu am niciun script care să-mi folosească creditele și, de asemenea, niciun serviciu cunoscut care să-l folosească.

PDC DC-ul nostru este DC02 și acesta este din netlogon.log-ul său:

21/07 07:42:13 [LOGON] [5932] DOMAIN: SamLogon: Conectarea la rețea a DOMAIN\MYUSERNAME de la MYLAPTOP introdus
21/07 07:42:13 [LOGON] [5932] DOMAIN: SamLogon: Conectarea la rețea a DOMAIN\MYUSERNAME de la MYLAPTOP Returnează 0x0

și dacă sunt blocat văd asta în jurnal:

21/07 07:46:59 [LOGON] [7244] DOMAIN: SamLogon: Conectarea la rețeaua tranzitivă a DOMAIN\MYUSERNAME de la MYLAPTOP (prin DC05) a fost introdusă
21/07 07:46:59 [LOGON] [7244] DOMAIN: SamLogon: Conectarea la rețea tranzitivă a DOMAIN\MYUSERNAME de la MYLAPTOP (prin DC05) Returnează 0xC0000234
21/07 07:46:59 [LOGON] [7244] DOMAIN: SamLogon: Conectarea la rețeaua tranzitivă a DOMAIN\MYUSERNAME de la MYLAPTOP (prin DC05) a fost introdusă
21/07 07:46:59 [LOGON] [7244] DOMAIN: SamLogon: Conectarea la rețea tranzitivă a DOMAIN\MYUSERNAME de la MYLAPTOP (prin DC05) Returnează 0xC0000234
21/07 07:47:00 [LOGON] [7244] DOMAIN: SamLogon: Conectarea la rețeaua tranzitivă a DOMAIN\MYUSERNAME de la MYLAPTOP (prin DC05) a fost introdusă
21/07 07:47:00 [LOGON] [7244] DOMAIN: SamLogon: Conectarea la rețeaua tranzitivă a DOMAIN\MYUSERNAME de la MYLAPTOP (prin DC05) Returnează 0xC0000234
21/07 07:47:00 [LOGON] [7244] DOMAIN: SamLogon: Conectarea la rețeaua tranzitivă a DOMAIN\MYUSERNAME de la MYLAPTOP (prin DC05) a fost introdusă
21/07 07:47:00 [LOGON] [7244] DOMAIN: SamLogon: Conectarea la rețeaua tranzitivă a DOMAIN\MYUSERNAME de la MYLAPTOP (prin DC05) Returnează 0xC0000234

ID eveniment 4740 din Vizualizatorul de evenimente: introduceți descrierea imaginii aici Se pare că ceva a fost blocat la protocolul acestui ID de eveniment, pentru că nu primesc niciun eveniment.

Există vreo modalitate prin care pot urmări programele de pe laptop-ul meu care pot provoca acest lucru sau orice jurnal care se înregistrează dacă un program folosește credite greșite?

Am incercat si eu cu ALockout.dll dar acest lucru nu va crea un fișier în C:\Windows\debug\

Unitățile mele de rețea, acestea sunt singurele pe care le am și acestea mapate de domeniul nostru: introduceți descrierea imaginii aici

Și eu am făcut asta ieri:

introduceți descrierea imaginii aici

Am reinstalat Office și MS Teams, curăț managerul de acreditări unde mi-am văzut numele de utilizator și rulez sfc /scannow de asemenea, am repornit uneori ieri.

De asemenea, folosesc Netwrix Account Lockout Examiner Console pentru a mă debloca, dar mi se pare conectat, pentru că numărul meu Bad Pwd este 0: introduceți descrierea imaginii aici

726
2 + 8
Drifter104 avatar
drapel ca
Drifter104
Aruncați o privire la sarcinile și serviciile programate care vă folosesc acreditările.
0
Răspunde
lucki1000 avatar
drapel cn
lucki1000
Mi-am uitat laptopul de la serviciu, dar mâine îmi voi actualiza postarea cu toate lucrurile pe care le-am dezactivat deja @Drifter104
0
Răspunde
drapel br
Greg W
Nu uitați de unitățile de rețea mapate în care v-ați introdus în mod explicit acreditările.
0
Răspunde
lucki1000 avatar
drapel cn
lucki1000
postarea sunt actualizate
0
Răspunde
LeeM avatar
drapel cn
LeeM
Tocmai mi-am dat seama că lista de evenimente prost formatată includea evenimente care vin de pe propriul computer. Trebuie să verificați **4740** evenimente de pe DC pentru a vă asigura că nu este declanșat din altă parte.Dacă aveți mai multe DC-uri, îl puteți găsi pe ultimul care a avut o încercare proastă de conectare (înainte de a se bloca) cu aceasta (necesită modul AD powershell): `$u = (get-aduser "USERNAME").distinguishedName; (Get-ADReplicationAttributeMetadata $u -Server (Get-ADDomainController).hostname | unde attributename -eq lockouttime) | ft server,LastOriginatingChangeTime -auto`
1
Răspunde
lucki1000 avatar
drapel cn
lucki1000
@LeeM Mi-am actualizat postarea cu o fotografie a evenimentelor pe care le primesc dacă filtrez pe PDC DC pentru evenimentul 4740
0
Răspunde
bjoster avatar
drapel cn
bjoster
Verificați Managerul de acreditări Windows (Panou de control klassic). Poate că caseta „Salvați acreditările” a fost bifată pe o conexiune (e) vechi.
0
Răspunde
drapel ca
svin83
V-ați deconectat din sesiunea activă și v-ați autentificat cu noile acreditări?
0
Răspunde
Puncte:0
AutoGnome avatar Server
drapel us
AutoGnome

ID-ul evenimentului 4740 este generat pe controlerul de domeniu cu rolul PDC FSMO atunci când un cont este blocat.

Dacă PDC-ul dvs. nu generează aceste evenimente, asigurați-vă că politica „Blocare cont de audit” este activată atât cu succes, cât și cu eșecuri.

Politica o gasiti aici:

Configurare computer > Politici > Setări Windows > Setări de securitate > Politică avansată de audit > Conectare/Deconectare

0 + 0
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.