самопроизвольная блокировка Учётной записи в AD
Windows 2003
Active Directory более 100 учётных записей. Распределены по различным департаментам. Возникла проблема с одной учётной записью: Во время работы account блокируется - появляется галочка в AD account is block. Какого вида должна быть запись в Евентах при блокировании? Где ещё можно посмотреть логи, чтобы найти причину блокировки? |
exo,
Смотрите на контроллере домена лог Security - скорее всего, некое специфическое ПО пытается посылать запросы на DC. Кстати, может помочь тривиальная смена пароля. |
пароль меняли - не помогло.
Цитата:
Код:
Authentication Ticket Request: Event ID 672 вот, нашёл: Код:
Logon Failure: Код:
Logon attempt by: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 |
Вероятно, пользователь сменил пароль, а где-то в "сохраненных паролях" остался старый.
Несколько раз сталкивался с сохраненными паролями на подключенные сетевые диски Или какое-то задание запускается от имени пользователя со старым паролем Или какая-нибудь служба Для начала можно попробовать в AD разрешить пользователю логиниться только на одной машине. Если проблема останется - значит смотреть event log на этом компе Если исчезнет - значит где-то на каком-то другом компьютере в свое время этот пользователь, например, подключил принтер или сетевой диск, а отключить забыл. И теперь на нем эти ресурсы постоянно пытаются подключится со старым паролем. |
exo,
Логинится с одной машины или пробовали с разных? |
Цитата:
задача поменялась: Как в Active Directory для этого пользователя отключить блокировку вообще? Т.е. что бы учётка была включена постоянно, не смотря на не правильный перебор паролей. |
exo, так сделай срок действия пароля неограниченным в свойствах пользователя.
|
Цитата:
я тут нашёл как на весь домен отключить блокировку. Account Lockout Threshold нужно в 0 поставить. А как для одного пользователя. точнее двух уже... |
Цитата:
|
Цитата:
|
exo, ой блин, так я понял :) тока как увидел на английском так и забыл где ее искать.
Тогда на 2 человек можно это сделать без проблемм - загнать их под эту политику и все. |
Цитата:
|
Создаем новую политику,
Привязываем ее к контейнеру пользователей В настройках безопасности политики прописываем на каких пользователей она действует Если политик у контейнера несколько присваеваем новой политики максимальный приоритет. Настраиваем политику по блокировке записей по вышепериведенному хелпу |
GreenIce все описал по сути уже :) Единственное, что могу добавить это создать группу безопасности, в нее включить компы, ГПО в настройках безопасности включить ТОЛЬКО созданную группу и повесить эту ГПО на весь домен.
|
так:
1) я зашёл с GPMC. 2) Создал политику. 3) Захожу в Settings и нажимаю Edit на User Configuration 4) что дальше? |
Насколько мне память не изменяет, политика паролей домена, поднятого на Windows 2003, может быть только одна (вернее будет сказать - применяется только одна, остальные игнорируются) и задаётся в Default Domain Policy.
Так что про создание политики паролей для отдельной группы придётся забыть - либо на весь домен, либо никак. |
Цитата:
|
Цитата:
Врядли это вирусы, так как на разных компах: дома и на работе. |
exo, а мож ПО какое нить специфическо одинаковое стоит на этих машинах?
|
madmax24, возможно, тут на одно сайте посоветовали использовать EventCombMT для поиска блокировок.
|
exo, не пользовался и даже не слышал о таком. Но если будет результат, то отпишись :)
|
Да действитель, только сейчас сообразил, что политика паролей применяется на компьютер, а не на пользователя.
А если посмотреть у пользователя в панели управления оснастку пароли, там случайно нету каких нибудь записей? |
Время: 13:20. |
Время: 13:20.
© OSzone.net 2001-