Come trovare la fonte del blocco account
Netwrix Auditor for Active Directory
- Esegui Netwrix Auditor → Vai alla sezione "Ricerca" → Specifica i seguenti criteri:
- Filtro – "Cosa"
Operatore – "Contiene"
Valore – "<account username>" - Filtro – "Dettagli"
Operatore – "Contiene"
Valore – "Bloccato"
- Filtro – "Cosa"
- Fai clic su "Cerca" e controlla i risultati.
Scopri di più su Netwrix Auditor for Active Directory
Auditing nativo
- Apri Powershell ISE → Esegui lo script seguente, inserendo il nome dell'utente bloccato:
Import-Module ActiveDirectory
$UserName = Read-Host "Please enter username"
#Get main DC
$PDC = (Get-ADDomainController -Filter * | Where-Object {$_.OperationMasterRoles -contains "PDCEmulator"})
#Get user info
$UserInfo = Get-ADUser -Identity $UserName
#Search PDC for lockout events with ID 4740
$LockedOutEvents = Get-WinEvent -ComputerName $PDC.HostName -FilterHashtable @{LogName='Security';Id=4740} -ErrorAction Stop | Sort-Object -Property TimeCreated -Descending
#Parse and filter out lockout events
Foreach($Event in $LockedOutEvents)
{
If($Event | Where {$_.Properties[2].value -match $UserInfo.SID.Value})
{
$Event | Select-Object -Property @(
@{Label = 'User'; Expression = {$_.Properties[0].Value}}
@{Label = 'DomainController'; Expression = {$_.MachineName}}
@{Label = 'EventId'; Expression = {$_.Id}}
@{Label = 'LockoutTimeStamp'; Expression = {$_.TimeCreated}}
@{Label = 'Message'; Expression = {$_.Message -split "`r" | Select -First 1}}
@{Label = 'LockoutSource'; Expression = {$_.Properties[1].Value}}
)
}}
- Esaminare i risultati per trovare la fonte del blocco.
Trova la fonte di blocco dell'account e il motivo del blocco utilizzando PowerShell o Netwrix Auditor
Bloccare un account di Active Directory dopo diversi tentativi di autenticazione falliti è una politica comune in un ambiente Microsoft Windows. I blocchi possono verificarsi per vari motivi, tra cui password dimenticate, credenziali di servizio scadute nella cache, errori di replica del controller di dominio, mappature di unità errate, sessioni terminali disconnesse su un Windows Server e dispositivi mobili che accedono a Exchange Server.
Prima di sbloccare un account, è necessario individuare il motivo del blocco per mitigare i rischi di sicurezza e prevenire che lo stesso problema si ripresenti. PowerShell è uno strumento che puoi utilizzare. Lo script fornito sopra ti aiuta a determinare la fonte del blocco dell'account per un singolo account utente esaminando tutti gli eventi con ID 4740 nel Securitylog. L'output di PowerShell contiene dettagli correlati per ulteriori indagini: il computer in cui si è verificato il blocco dell'account e l'ora in cui è accaduto.
Netwrix Auditor offre un modo più conveniente per trovare le fonti di blocco degli account. La piattaforma monitora l'attività di tutti gli utenti nel tuo ambiente e fornisce informazioni dettagliate su uno o tutti i blocchi degli account in un rapporto di facile lettura che puoi generare in pochi clic.
Condividi su