самопроизвольная блокировка Учётной записи в AD

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Microsoft Windows NT/2000/2003 (http://forum.oszone.net/forumdisplay.php?f=5)

самопроизвольная блокировка Учётной записи в AD

Windows 2003
Active Directory
более 100 учётных записей.
Распределены по различным департаментам.
Возникла проблема с одной учётной записью: Во время работы account блокируется - появляется галочка в AD account is block.
Какого вида должна быть запись в Евентах при блокировании?
Где ещё можно посмотреть логи, чтобы найти причину блокировки?

exo,
Смотрите на контроллере домена лог Security - скорее всего, некое специфическое ПО пытается посылать запросы на DC.
Кстати, может помочь тривиальная смена пароля.

пароль меняли - не помогло.

Цитата:

Цитата monkkey

Смотрите на контроллере домена лог Security »

Код:

Authentication Ticket Request:

         User Name:                lika

         Supplied Realm Name:        domain

         User ID:                        -

         Service Name:                krbtgt/domain

         Service ID:                -

         Ticket Options:                0x40810010

         Result Code:                0x12

         Ticket Encryption Type:        -

         Pre-Authentication Type:        -

         Client Address:                192.168.0.152

         Certificate Issuer Name:        

         Certificate Serial Number:        

         Certificate Thumbprint:

выделенное смущает...
Event ID 672
вот, нашёл:

Код:

Logon Failure:

         Reason:                Account locked out

         User Name:        lika

         Domain:        domain

         Logon Type:        3

         Logon Process:        NtLmSsp 

         Authentication Package:        NTLM

         Workstation Name:        CPU10

         Caller User Name:        -

         Caller Domain:        -

         Caller Logon ID:        -

         Caller Process ID: -

         Transited Services: -

         Source Network Address:        192.168.0.152

         Source Port:        1608

Event ID 539

Код:

Logon attempt by:        MICROSOFT_AUTHENTICATION_PACKAGE_V1_0

 Logon account:        lika

 Source Workstation:        CPU10

 Error Code:        0xC0000234

Event ID 680 это уже её попытка залогинется при блокированной учётке.

Вероятно, пользователь сменил пароль, а где-то в "сохраненных паролях" остался старый.
Несколько раз сталкивался с сохраненными паролями на подключенные сетевые диски
Или какое-то задание запускается от имени пользователя со старым паролем
Или какая-нибудь служба
Для начала можно попробовать в AD разрешить пользователю логиниться только на одной машине. Если проблема останется - значит смотреть event log на этом компе
Если исчезнет - значит где-то на каком-то другом компьютере в свое время этот пользователь, например, подключил принтер или сетевой диск, а отключить забыл. И теперь на нем эти ресурсы постоянно пытаются подключится со старым паролем.

exo,
Логинится с одной машины или пробовали с разных?

Цитата:

Цитата monkkey

Логинится с одной машины или пробовали с разных »

с одной.
задача поменялась:
Как в Active Directory для этого пользователя отключить блокировку вообще? Т.е. что бы учётка была включена постоянно, не смотря на не правильный перебор паролей.

exo, так сделай срок действия пароля неограниченным в свойствах пользователя.

Цитата:

Цитата madmax24

действия пароля неограниченным »

уже стоит.
я тут нашёл как на весь домен отключить блокировку. Account Lockout Threshold нужно в 0 поставить. А как для одного пользователя. точнее двух уже...

Цитата:

Цитата exo

Account Lockout Threshold нужно в 0 поставить »

А это хде? В ГПО или где то в другом месте?

Цитата:

Цитата madmax24

А это хде »

Блокировка учетной записи включается следующим образом.

Откройте нужную политику безопасности Security Policy (Политика безопасности) (домена или локальную) с помощью команды Start\Administrative Tools\Local Security Policy (или Domain Security Policy) (Пуск\Администрирование\Локальная политика безопасности [или Политика безопасности домена]).
В консоли Security Settings (Параметры безопасности) в узле Account Policies (Политики учетных записей) выберите Account Lockout Policy (Политика блокировки учетной записи).
Дважды щелкните на опции Account Lockout Threshold (Порог блокировки учетной записи).
В опции Account Lockout Threshold установите разрешенное количество попыток входа перед блокировкой учетной записи. Укажите любое значение от 1 до 999. Значение 0 отключает данную опцию. (Рекомендуется устанавливать значение порога в диапазоне от 3 до 5.)
Нажмите на кнопку OK.
Диалоговое окно проинформирует о том, что длительность блокировки и сброс счетчиков установлены на 30 мин.
Установите значение опции Account Lockout Duration (Длительность блокировки учетной записи), дважды щелкнув на ней. Укажите промежуток времени, в течение которого учетная запись будет находиться в заблокированном состоянии – любое значение от 1 до 99999 мин. Значение 0 заблокирует учетную запись до тех пор, пока администратор не разблокирует ее вручную.
Нажмите на кнопку OK.
Установите значение опции Reset Account Lockout Counter (Сброс счетчика блокировки учетной записи), дважды щелкнув на ней. Укажите интервал времени, по прошествии которого счетчик блокировки сбрасывается – любое значение от 1 до 99999 мин.
Нажмите на кнопку OK.

exo, ой блин, так я понял :) тока как увидел на английском так и забыл где ее искать.
Тогда на 2 человек можно это сделать без проблемм - загнать их под эту политику и все.

Цитата:

Цитата madmax24

загнать их под эту политику и все »

как-как? пажалуйста по пунктам, а то горит, идин из человеков - начальнег.

Создаем новую политику,
Привязываем ее к контейнеру пользователей
В настройках безопасности политики прописываем на каких пользователей она действует
Если политик у контейнера несколько присваеваем новой политики максимальный приоритет.
Настраиваем политику по блокировке записей по вышепериведенному хелпу

GreenIce все описал по сути уже :) Единственное, что могу добавить это создать группу безопасности, в нее включить компы, ГПО в настройках безопасности включить ТОЛЬКО созданную группу и повесить эту ГПО на весь домен.

так:
1) я зашёл с GPMC.
2) Создал политику.
3) Захожу в Settings и нажимаю Edit на User Configuration
4) что дальше?

Насколько мне память не изменяет, политика паролей домена, поднятого на Windows 2003, может быть только одна (вернее будет сказать - применяется только одна, остальные игнорируются) и задаётся в Default Domain Policy.

Так что про создание политики паролей для отдельной группы придётся забыть - либо на весь домен, либо никак.

Цитата:

Цитата exo

4) что дальше? »

хм... кстати, я сперва думал все просто - зайти в настройки компьютера, конфигурацию виндовс и там все нарстроить... Но думаю, что это не решит полностью твоей задачи, ибо будет действовать на компы и не затронет пользователей...

Цитата:

Цитата madmax24

действовать на компы и не затронет пользователей »

вот я и думаю через GPO разрулить... млин, или как найти причину блокировки? в "Просмотр Событий" только записи о попытке авторизации заблокированной учётке.
Врядли это вирусы, так как на разных компах: дома и на работе.

exo, а мож ПО какое нить специфическо одинаковое стоит на этих машинах?

madmax24, возможно, тут на одно сайте посоветовали использовать EventCombMT для поиска блокировок.

exo, не пользовался и даже не слышал о таком. Но если будет результат, то отпишись :)

Да действитель, только сейчас сообразил, что политика паролей применяется на компьютер, а не на пользователя.
А если посмотреть у пользователя в панели управления оснастку пароли, там случайно нету каких нибудь записей?