Регистрация Войти
Рейтинг:0
lucki1000 avatar Server

AD блокирует мою учетную запись каждые 5 минут, но без причины?

флаг cn
lucki1000

Я знаю, что есть много тем, похожих на мою, но, может быть, я слишком глуп, чтобы получить всю эту информацию.

Моя проблема в том, что я изменил свой пароль, и, поскольку они блокируются каждые ~ 5 минут, у меня нет никаких скриптов, которые используют мои кредиты, а также нет известного сервиса, который будет использовать это.

Наш PDC DC — DC02, и это из его netlogon.log:

21.07 07:42:13 [ВХОД] [5932] ДОМЕН: SamLogon: Вход в сеть ДОМЕН\ИМЯПОЛЬЗОВАТЕЛЯ с МОЕГО НОУТБУКА Вход в сеть
21.07 07:42:13 [ВХОД] [5932] ДОМЕН: SamLogon: вход в сеть ДОМЕН\ИМЯПОЛЬЗОВАТЕЛЯ с МОЕГО НОУТБУКА Возвращает 0x0

и если я заблокирован, я вижу это в журнале:

21.07 07:46:59 [ВХОД] [7244] ДОМЕН: SamLogon: Вход в транзитивную сеть ДОМЕН\ИМЯПОЛЬЗОВАТЕЛЯ с МОЕГО НОУТБУКА (через DC05) Вход
21.07 07:46:59 [ВХОД] [7244] ДОМЕН: SamLogon: Вход в транзитную сеть ДОМЕН\ИМЯПОЛЬЗОВАТЕЛЯ с МОЕГО НОУТБУКА (через DC05) Возвращает 0xC0000234
21.07 07:46:59 [ВХОД] [7244] ДОМЕН: SamLogon: Вход в транзитивную сеть ДОМЕН\ИМЯПОЛЬЗОВАТЕЛЯ с МОЕГО НОУТБУКА (через DC05) Вход
21.07 07:46:59 [ВХОД] [7244] ДОМЕН: SamLogon: Вход в транзитную сеть ДОМЕН\ИМЯПОЛЬЗОВАТЕЛЯ с МОЕГО НОУТБУКА (через DC05) Возвращает 0xC0000234
21.07 07:47:00 [ВХОД] [7244] ДОМЕН: SamLogon: Вход в транзитную сеть ДОМЕН\ИМЯПОЛЬЗОВАТЕЛЯ с МОЕГО НОУТБУКА (через DC05) Вход
21.07 07:47:00 [ВХОД] [7244] ДОМЕН: SamLogon: Вход в транзитную сеть ДОМЕН\ИМЯПОЛЬЗОВАТЕЛЯ с MYLAPTOP (через DC05) Возвращает 0xC0000234
21.07 07:47:00 [ВХОД] [7244] ДОМЕН: SamLogon: Вход в транзитную сеть ДОМЕН\ИМЯПОЛЬЗОВАТЕЛЯ с МОЕГО НОУТБУКА (через DC05) Вход
21.07 07:47:00 [ВХОД] [7244] ДОМЕН: SamLogon: Вход в транзитную сеть ДОМЕН\ИМЯПОЛЬЗОВАТЕЛЯ с MYLAPTOP (через DC05) Возвращает 0xC0000234

Идентификатор события 4740 из средства просмотра событий: введите описание изображения здесь Похоже, что-то заблокировало протоколирование этого идентификатора события, потому что я не получаю никаких событий.

Есть ли способ отследить программы на моем ноутбуке, которые могут вызывать этот или любой журнал, который регистрирует, если программа использует неправильные кредиты?

Я также пробовал это с ALockout.dll но это не создаст файл в C:\Windows\отладка\

Мои сетевые диски, это единственные, которые у меня есть, и они сопоставлены с нашим доменом: введите описание изображения здесь

Тоже вчера сделал:

введите описание изображения здесь

Я переустановил Office и MS Teams, я чищу диспетчер учетных данных, где я увидел свое имя пользователя, и я запускаю sfc/scannow также я иногда перезагружался вчера.

Также я использую Netwrix Account Lockout Examiner Console, чтобы разблокировать себя, но она выглядит подключенной ко мне, потому что мой Bad Pwd Count равен 0: введите описание изображения здесь

726
2 + 8
Drifter104 avatar
флаг ca
Drifter104
Посмотрите на запланированные задачи и службы, которые используют ваши учетные данные.
0
Ответить
lucki1000 avatar
флаг cn
lucki1000
Я забыл свой рабочий ноутбук, но завтра я обновлю свой пост, указав все, что я уже отключил @Drifter104.
0
Ответить
флаг br
Greg W
Не забудьте подключить сетевые диски, на которые вы явно ввели свои учетные данные.
0
Ответить
lucki1000 avatar
флаг cn
lucki1000
сообщение обновлено
0
Ответить
LeeM avatar
флаг cn
LeeM
Только что понял, что плохо отформатированный список событий включает события, поступающие с вашего собственного компьютера. Вам нужно проверить события **4740** на контроллерах домена, чтобы убедиться, что они не запускаются откуда-то еще.Если у вас несколько контроллеров домена, вы можете найти последний, у которого была неудачная попытка входа в систему (до блокировки), с помощью этого (требуется модуль AD powershell): `$u = (get-aduser "ИМЯ ПОЛЬЗОВАТЕЛЯ").distinguishedName; (Get-ADReplicationAttributeMetadata $u -Server (Get-ADDomainController).hostname | где attributename -eq lockouttime) | ft server,LastOriginatingChangeTime -auto`
1
Ответить
lucki1000 avatar
флаг cn
lucki1000
@LeeM Я обновил свой пост с изображением событий, которые я получу, если отфильтрую наш PDC DC для события 4740.
0
Ответить
bjoster avatar
флаг cn
bjoster
Проверьте диспетчер учетных данных Windows (классическая панель управления). Возможно, флажок «сохранить учетные данные» был установлен на каком-то старом соединении (ях).
0
Ответить
флаг ca
svin83
Вы вышли из активного сеанса и вошли с новыми учетными данными?
0
Ответить
Рейтинг:0
AutoGnome avatar Server
флаг us
AutoGnome

Идентификатор события 4740 создается на контроллере домена с ролью PDC FSMO, когда учетная запись заблокирована.

Если ваш основной контроллер домена не генерирует эти события, убедитесь, что политика «Аудит блокировки учетной записи» включена как для успехов, так и для ошибок.

Вы можете найти политику здесь:

Конфигурация компьютера > Политики > Параметры Windows > Параметры безопасности > Расширенная политика аудита > Вход/выход из системы

0 + 0
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.