Cómo encontrar la fuente de bloqueo de cuenta
Netwrix Auditor for Active Directory
- Ejecute Netwrix Auditor → Vaya a "Buscar" → Especifique los siguientes criterios:
- Filtro – "Qué"
Operador – "Contiene"
Valor – "<account username>" - Filtro – "Detalles"
Operador – "Contiene"
Valor – "Bloqueado"
- Filtro – "Qué"
- Haga clic en "Buscar" y revise los resultados.
Aprende más sobre Netwrix Auditor for Active Directory
Auditoría Nativa
- Abra el Powershell ISE → Ejecute el siguiente script, ingresando el nombre del usuario bloqueado:
Import-Module ActiveDirectory
$UserName = Read-Host "Please enter username"
#Get main DC
$PDC = (Get-ADDomainController -Filter * | Where-Object {$_.OperationMasterRoles -contains "PDCEmulator"})
#Get user info
$UserInfo = Get-ADUser -Identity $UserName
#Search PDC for lockout events with ID 4740
$LockedOutEvents = Get-WinEvent -ComputerName $PDC.HostName -FilterHashtable @{LogName='Security';Id=4740} -ErrorAction Stop | Sort-Object -Property TimeCreated -Descending
#Parse and filter out lockout events
Foreach($Event in $LockedOutEvents)
{
If($Event | Where {$_.Properties[2].value -match $UserInfo.SID.Value})
{
$Event | Select-Object -Property @(
@{Label = 'User'; Expression = {$_.Properties[0].Value}}
@{Label = 'DomainController'; Expression = {$_.MachineName}}
@{Label = 'EventId'; Expression = {$_.Id}}
@{Label = 'LockoutTimeStamp'; Expression = {$_.TimeCreated}}
@{Label = 'Message'; Expression = {$_.Message -split "`r" | Select -First 1}}
@{Label = 'LockoutSource'; Expression = {$_.Properties[1].Value}}
)
}}
- Revise los resultados para encontrar el origen del bloqueo.
Encuentre la fuente de un bloqueo de cuenta y la razón del bloqueo utilizando PowerShell o Netwrix Auditor
Bloquear una cuenta de Active Directory después de varios intentos fallidos de autenticación es una política común en un entorno de Microsoft Windows. Los bloqueos pueden ocurrir por una variedad de razones, incluyendo contraseñas olvidadas, credenciales de servicio caducadas en la caché, errores de replicación del controlador de dominio, mapeos de unidad incorrectos, sesiones terminales desconectadas en un Windows Server y dispositivos móviles accediendo a Exchange Server.
Antes de desbloquear una cuenta, necesitas rastrear por qué ocurrió el bloqueo para mitigar los riesgos de seguridad y evitar que el mismo problema suceda nuevamente. PowerShell es una herramienta que puedes utilizar. El script proporcionado arriba te ayuda a determinar la fuente del bloqueo de cuenta para una cuenta de usuario individual examinando todos los eventos con ID 4740 en el Securitylog. La salida de PowerShell contiene detalles relacionados para una investigación más profunda: la computadora donde ocurrió el bloqueo de la cuenta y el momento en que sucedió.
Netwrix Auditor ofrece una manera más conveniente de encontrar las fuentes de bloqueo de cuentas. La plataforma monitorea la actividad de todos los usuarios en su entorno y proporciona información detallada sobre uno o todos los bloqueos de cuentas en un informe fácil de leer que puede generar en solo unos pocos clics.
Compartir en