問題描述:ad賬戶頻繁被鎖定,系統中無法查到相關鎖定日誌記錄
處理過程:通過以下方法,驗證是否開啟了日誌記錄:
在ad伺服器上以管理員身份執行cmd,輸入命令,netdom query fsmo,檢視pdc伺服器角色
登陸到pdc伺服器上,以管理員身份執行cmd,輸入命令:auditpol/get /category:* 確保審核策略已開啟
如果策略已開啟,在系統日誌的安全日誌 查詢事件id4740
檢視是否能搜尋到鎖定的事件日誌
如果無事件日誌記錄,或審核未開啟,請在pdc的本地策略開啟事件審核,在pdc伺服器上開啟"本地安全策略"
確保以下事件審核已開啟
其他相關事件id說明
賬戶解鎖,事件id4767,
使用者憑據驗證,事件id4776,
8. 通過以上檢查,發現在組策略中設定審核策略後ad伺服器通過命令auditpol/get /category:*檢視系統審核策略依舊未開啟
9. 通過命令auditpol/get /category:*檢查其他伺服器發現系統審核策略未開啟
解決方法:
**********==
1. 重建ad域控所應用的審核策略組策略,重建後驗證ad審核策略狀態,客戶端賬戶登陸鎖定,日誌記錄正常
2. 檢視其他windows 伺服器上的系統審核策略狀態依舊是無審核狀態,通過啟用組策略中高階審核策略後,通過命令auditpol/get /category:*檢視其他伺服器系統審核狀態正常
3. 關於審核策略及高階審核策略區別在於高階審核策略在數量和型別上選擇性更多,配置更加靈活,參考:
4. 目前同時使用了審核策略和高階審核策略,如果想停止高階審核策略需如下操作:
ad被鎖定的賬戶 AD賬號頻繁被鎖定原因
在公司的實際運維過程當中,有時會碰到某些 ad賬號被頻繁鎖定的情況。在網上找了很多資料,往往描述地不夠詳細。為了發揚網路人人為我,我為人人的精 神,現在把我所碰到的情況及解決方案寫出來,希望給碰到相關問題的人提供幫 助。ad 某乙個賬戶,每隔幾分鐘就會被鎖定,即使解鎖,即使禁用都沒有 效果。情況一 ...
批量解鎖被鎖定的AD賬戶
因公司網路有客戶端中了w32.downadup病毒,此病毒會不停使用ad賬戶和不同密碼組合嘗試訪問,公司域中有使用組策略,密碼輸入錯誤三次將鎖定賬號,從而導致很多ad賬戶被鎖定。active directory使用者和計算機無法直接對多個賬戶同時解鎖,如果乙個個解,賬戶多的時候,簡直要崩潰。下面介紹...
排查域賬戶頻繁鎖定
最近2周一直被乙個問題困擾,有使用者頻繁被鎖定。但是無法找到使用者從 傳送的驗證資訊。原因是為了加強安全監控,啟用了使用者賬戶鎖定的通知。這個鎖定通知是通過事件日誌結合計畫任務傳送的,具體如何操作可以參考之前的文章 監控賬戶登入 或者 windows 2012 r2 計畫任務傳送郵件 賬戶被鎖定的唯...