Windows 2003
Active Directory
более 100 учётных записей.
Распределены по различным департаментам.
Возникла проблема с одной учётной записью: Во время работы account блокируется - появляется галочка в AD account is block.
Какого вида должна быть запись в Евентах при блокировании?
Где ещё можно посмотреть логи, чтобы найти причину блокировки?

exo,
Смотрите на контроллере домена лог Security - скорее всего, некое специфическое ПО пытается посылать запросы на DC.
Кстати, может помочь тривиальная смена пароля.

пароль меняли - не помогло.
Смотрите на контроллере домена лог Security »
Authentication Ticket Request:
User Name: lika
Supplied Realm Name: domain
User ID: -
Service Name: krbtgt/domain
Service ID: -
Ticket Options: 0x40810010
Result Code: 0x12
Ticket Encryption Type: -
Pre-Authentication Type: -
Client Address: 192.168.0.152
Certificate Issuer Name:
Certificate Serial Number:
Certificate Thumbprint:
выделенное смущает...
Event ID 672
вот, нашёл:
Logon Failure:
Reason: Account locked out
User Name: lika
Domain: domain
Logon Type: 3
Logon Process: NtLmSsp
Authentication Package: NTLM
Workstation Name: CPU10
Caller User Name: -
Caller Domain: -
Caller Logon ID: -
Caller Process ID: -
Transited Services: -
Source Network Address: 192.168.0.152
Source Port: 1608

Event ID 539

Logon attempt by: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Logon account: lika
Source Workstation: CPU10
Error Code: 0xC0000234
Event ID 680 это уже её попытка залогинется при блокированной учётке.

Вероятно, пользователь сменил пароль, а где-то в "сохраненных паролях" остался старый.
Несколько раз сталкивался с сохраненными паролями на подключенные сетевые диски
Или какое-то задание запускается от имени пользователя со старым паролем
Или какая-нибудь служба
Для начала можно попробовать в AD разрешить пользователю логиниться только на одной машине. Если проблема останется - значит смотреть event log на этом компе
Если исчезнет - значит где-то на каком-то другом компьютере в свое время этот пользователь, например, подключил принтер или сетевой диск, а отключить забыл. И теперь на нем эти ресурсы постоянно пытаются подключится со старым паролем.

exo,
Логинится с одной машины или пробовали с разных?

Логинится с одной машины или пробовали с разных »
с одной.
задача поменялась:
Как в Active Directory для этого пользователя отключить блокировку вообще? Т.е. что бы учётка была включена постоянно, не смотря на не правильный перебор паролей.

exo, так сделай срок действия пароля неограниченным в свойствах пользователя.

действия пароля неограниченным »
уже стоит.
я тут нашёл как на весь домен отключить блокировку. Account Lockout Threshold нужно в 0 поставить. А как для одного пользователя. точнее двух уже...

Account Lockout Threshold нужно в 0 поставить »
А это хде? В ГПО или где то в другом месте?

А это хде »
Блокировка учетной записи включается следующим образом.

Откройте нужную политику безопасности Security Policy (Политика безопасности) (домена или локальную) с помощью команды Start\Administrative Tools\Local Security Policy (или Domain Security Policy) (Пуск\Администрирование\Локальная политика безопасности [или Политика безопасности домена]).
В консоли Security Settings (Параметры безопасности) в узле Account Policies (Политики учетных записей) выберите Account Lockout Policy (Политика блокировки учетной записи).
Дважды щелкните на опции Account Lockout Threshold (Порог блокировки учетной записи).
В опции Account Lockout Threshold установите разрешенное количество попыток входа перед блокировкой учетной записи. Укажите любое значение от 1 до 999. Значение 0 отключает данную опцию. (Рекомендуется устанавливать значение порога в диапазоне от 3 до 5.)
Нажмите на кнопку OK.
Диалоговое окно проинформирует о том, что длительность блокировки и сброс счетчиков установлены на 30 мин.
Установите значение опции Account Lockout Duration (Длительность блокировки учетной записи), дважды щелкнув на ней. Укажите промежуток времени, в течение которого учетная запись будет находиться в заблокированном состоянии – любое значение от 1 до 99999 мин. Значение 0 заблокирует учетную запись до тех пор, пока администратор не разблокирует ее вручную.
Нажмите на кнопку OK.
Установите значение опции Reset Account Lockout Counter (Сброс счетчика блокировки учетной записи), дважды щелкнув на ней. Укажите интервал времени, по прошествии которого счетчик блокировки сбрасывается – любое значение от 1 до 99999 мин.
Нажмите на кнопку OK.

exo, ой блин, так я понял :) тока как увидел на английском так и забыл где ее искать.
Тогда на 2 человек можно это сделать без проблемм - загнать их под эту политику и все.

загнать их под эту политику и все »
как-как? пажалуйста по пунктам, а то горит, идин из человеков - начальнег.

Создаем новую политику,
Привязываем ее к контейнеру пользователей
В настройках безопасности политики прописываем на каких пользователей она действует
Если политик у контейнера несколько присваеваем новой политики максимальный приоритет.
Настраиваем политику по блокировке записей по вышепериведенному хелпу

GreenIce все описал по сути уже :) Единственное, что могу добавить это создать группу безопасности, в нее включить компы, ГПО в настройках безопасности включить ТОЛЬКО созданную группу и повесить эту ГПО на весь домен.

так:
1) я зашёл с GPMC.
2) Создал политику.
3) Захожу в Settings и нажимаю Edit на User Configuration
4) что дальше?
http://www.exonix.ru/images/no_block.jpg

Насколько мне память не изменяет, политика паролей домена, поднятого на Windows 2003, может быть только одна (вернее будет сказать - применяется только одна, остальные игнорируются) и задаётся в Default Domain Policy.

Так что про создание политики паролей для отдельной группы придётся забыть - либо на весь домен, либо никак.

4) что дальше? »
хм... кстати, я сперва думал все просто - зайти в настройки компьютера, конфигурацию виндовс и там все нарстроить... Но думаю, что это не решит полностью твоей задачи, ибо будет действовать на компы и не затронет пользователей...

действовать на компы и не затронет пользователей »
вот я и думаю через GPO разрулить... млин, или как найти причину блокировки? в "Просмотр Событий" только записи о попытке авторизации заблокированной учётке.
Врядли это вирусы, так как на разных компах: дома и на работе.

exo, а мож ПО какое нить специфическо одинаковое стоит на этих машинах?

madmax24, возможно, тут на одно сайте посоветовали использовать EventCombMT для поиска блокировок.