Account locked out перевод

Locked Area Lite — is a free password protection system written in Perl. It uses Apache s .htaccess and .htpasswd along with DES randomised salt or MD5 encryption of passwords for increased security. It also includes a member s database that lets the administrator… … Wikipedia

Locked-In Retirement Account — A Locked In Retirement Account (LIRA), and the virtually >Wikipedia

Locked-In Retirement Account — LIRA — A type of registered retirement savings alternative that locks in the pension funds in investments. While the funds are locked in, they are unavailable for cash out. Pension funds that are transferred to a LIRA are used to purchase a life annuity … Investment dictionary

Locked room mystery — The locked room mystery is a sub genre of detective fiction wherein a crime such as murder is committed under apparently impossible circumstances typically involving a crime scene that no intruder could have entered or exited (thus locked room ) … Wikipedia

Locked In — A situation where an investor is unwilling or unable to exit a position because of the regulations, taxes or penalties associated with doing so. This may be an investment vehicle, such as a retirement plan, which can not be accessed until a… … Investment dictionary

account lockout — In Microsoft Windows 2000 and other operating systems, a count of the number of inval >Dictionary of networking

Club Nintendo — Official logo of the Club Nintendo program Club Nintendo is the name of several publications and a more well known customer loyalty program prov >Wikipedia

performing arts — arts or skills that require public performance, as acting, singing, or dancing. [1945 50] * * * ▪ 2009 Introduction Music >Universalium

iOS version history — Contents 1 Overview 2 Versions 2.1 Unreleased versions … Wikipedia

Earth Sciences — ▪ 2009 Introduction Geology and Geochemistry The theme of the 33rd International Geological Congress, which was held in Norway in August 2008, was “Earth System Science: Foundation for Sustainable Development.” It was attended by nearly… … Universalium

Europe, history of — Introduction history of European peoples and cultures from prehistoric times to the present. Europe is a more ambiguous term than most geographic expressions. Its etymology is doubtful, as is the physical extent of the area it designates.… … Universalium

В этой статье мы опишем, как отслеживать события блокировки учетных записей пользователей на котроллерах домена Active Directory, определять с какого компьютера и из какой конкретно программы выполняется постоянная блокировка. Рассмотрим использование для поиска источника блокировки журнала безопасности Windows и скриптов PowerShell.

Политика безопасности учетных записей в большинстве организаций требует обязательного блокирования учетной записи пользователя в домене Active Directory в случае n-кратного неправильного набора пароля пользователем. Обычно учетная запись блокируется контроллером домена после нескольких попыток ввести неправильный пароль на несколько минут (5-30), в течении которых вход пользователя в систему невозможен. Через определение время, заданное политиками безопасности, учетная запись домена автоматически разблокируется. Временная блокировка учетной записи позволяет снизить риск подбора пароля (простым брутфорсом) учетных записей пользователей AD.

В том случае, если учётная запись пользователя в домене заблокирована, при попытке авторизации в Windows появляется предупреждение:

Политики блокировки учетных записей в домене

Политики блокировки учетных записей и паролей обычно задается сразу для всего домена политикой Default Domain Policy. Интересующие нас политики находятся в разделе Computer Configuration -> Windows Settings -> Security Settings -> Account Policy -> Account Lockout Policy (Конфигурация Windows -> Параметры безопасности -> Политики учетных записей -> Политики блокировки учетных записей). Это политикии:

  • Account lockout threshold (Пороговое значение блокировки) – через сколько неудачных попыток набора пароля учетная запись должна быть заблокирована
  • Accountlockoutduration (Продолжительность блокировки учетной записи) – на какое время будет заблокирована учетная запись (по истечении этого времени блокировка будет снята автоматически)
  • Resetaccountlockoutcounterafter (Время до сброса счетчика блокировки)– через какое время будет сброшен счетчик неудачных попыток авторизации

Совет. Вручную снять блокировку учетной записи, не дожидаясь автоматической разблокировки, можно с помощью консоли ADUC . Для этого в свойствах учетной записи пользователя на вкладке Account, поставив чекбокс на Unlock account. This account is currently locked out on this Active Directory Domain Controller.

Довольно полезную информацию о времени блокировки, задания пароля, количестве попыток набора пароля и прочее можно получить в свойствах учетной записи в консоль ADSIEdit или на дополнительной вкладке Additional Account Info в свойствах пользователя (проще).

Ситуации, когда пользователь забыл свой пароль и сам вызвал блокировку своей учетки случаются довольно часто. Но в некоторых случаях блокировка учеток происходит неожиданно, без каких-либо видимых причин. Т.е. пользоваться «клянется», что ничего особого не делал, не разу не ошибался при вводе пароля, но его учетная запись почему-то заблокировалась. Администратор по просьбе пользователя может вручную снять блокировку, но через некоторое время ситуация повторяется.

Для того, чтобы решить проблему пользователя администратору нужно разобраться с какого компьютера и какой программой была заблокирована учетная запись пользователя в Active Directory.

Поиск компьютера, с которого была заблокирована учетная запись

В первую очередь администратору нужно разобраться с какого компьютера / сервера происходят попытки ввода неверных паролей и идет дальнейшая блокировка учетной записи.

Читайте также:  Хештеги для инстаграмма коты

В том случае, если ближайший к пользователю контроллер домена определил, что пользователь пытается авторизоваться под неверным паролем , он перенаправляет запрос аутентификации на DC с FSMO ролью эмулятора PDC (именно он отвечает за обработку блокировок учетных записей). Если проверка подлинности не выполнялась и на PDC, он отвечает первому DC о невозможности аутентификации.

При этом в журнале обоих контроллеров домена фиксируются события 4740 с указанием DNS имени (IP адреса) компьютера, с которого пришел первоначальный запрос на авторизацию пользователя. Логично, что в первую очередь необходимо проверить журналы безопасности на PDC контроллере. Найти PDC в домене можно так:

Событие блокировки учетной записи домена можно найти в журнале Security на контролере домена. Отфильтруйте журнал безопасности по событию с Event ID 4740. Должен появится список последних событий блокировок учетных записей на контроллере домена. Начиная с самого верхнего переберите все события и найдите событие, в котором указано что учетная запись нужного пользователя (имя учетной записи указано в строке Account Name) заблокирована (A user account was locked out).

Откройте данное событие. Имя компьютера (или сервера), с которого была произведена блокировка указано в поле Caller Computer Name. В данном случае имя компьютера – TS01.

Можно воспользоваться следующим PowerShell скриптом для поиска источника блокировки конкретного пользователя на PDC. Данный скрипт вернет дату блокировки и компьютер, с которого она произошла:

$Username = ‘username1’
$Pdce = (Get-AdDomain).PDCEmulator
$GweParams = @<
‘Computername’ = $Pdce
‘LogName’ = ‘Security’
‘FilterXPath’ = "*[System[Event ]]"
>
$Events = Get-WinEvent @GweParams
$Events | foreach

$Username = ‘username1’
Get-ADDomainController -fi * | select -exp hostname | % <
$GweParams = @<
‘Computername’ = $_
‘LogName’ = ‘Security’
‘FilterXPath’ = "*[System[Event ]]"
>
$Events = Get-WinEvent @GweParams
$Events | foreach <$_.Computer + " " +$_.Properties[1].value + ‘ ‘ + $_.TimeCreated>
>

Выявляем программу, причину блокировки учетной записи в AD

Итак, мы определили с какого компьютера или устройства была заблокирована учетная запись. Теперь хотелось бы понять, какая программа или процесс выполняет неудачные попытки входа и является источником блокировки.

Часто пользователи начинают жаловаться на блокировку своей учетной записи в домене после плановой смены пароля своей доменной учетной записи . Это наталкивает на мысль, что старый (неверный) пароль сохранен в некой программе, скрипте или службе, которая периодически пытается авторизоваться в домене с устаревшим паролем. Рассмотрим самые распространение места, в которых пользователь мог использовать свой старый пароль:

  1. Монтирование сетевого диска через net use (Map Drive)
  2. В заданиях планировщика Windows (Task Scheduler)
  3. В службах Windows, которые настроены на запуск из-под доменной учетной записи
  4. Сохранённые пароли в менеджере паролей в панели управления (Credential Manager)
  5. Браузеры
  6. Мобильные устройства (например, использующееся для доступа к корпоративной почте)
  7. Программы с автологином
  8. Незавершенные сессии пользователя на других компьютерах или терминальных серверах
  9. И др.

Для более детального аудита блокировок на найденной машине необходимо включить ряд локальных политик аудита Windows. Для этого на локальном компьютере, на котором нужно отследить источник блокировки, откройте редактор групповых политик Gpedit.msc и в разделе Compute Configurations -> Windows Settings -> Security Settings -> Local Policies -> Audit Policy включите политики:

  • Audit process tracking: Success , Failure
  • Audit logon events: Success , Failure

Дождитесь очередной блокировки учетной записи и найдите в журнале безопасности (Security) события с Event ID 4625. В нашем случае это событие выглядит так:

Из описания события видно, что источник блокировки учетной записи – процесс mssdmn.exe (является компонентом Sharepoint). Осталось сообщить пользователю о том, что ему необходимо обновить свой пароль на веб-портале Sharepoint.

После окончания анализа, выявления и наказания виновника не забудьте отключить действие активированных групповых политик аудита.

В том случае, если вы так и не смогли выяснить причину блокировки учетной записи на конкретном компьютере, чтобы избежать постоянной блокировки учетки, стоит попробовать переименовать имя учетной записи пользователя в Active Directory. Это как правило самый действенный метод защиты от внезапных блокировок определенного пользователя.

Впервые статья была опубликована в ноябрьском номере журнала "Системный администратор".

Доводилось ли вам сталкиваться с тем, что пользователи не могут войти в компьютер? Что же делать в случае, если учетная запись существует, она не отключена да еще и пароль правильный?

Иногда возникают ситуации когда, при попытке входа в компьютер, пользователь получает сообщение Unable to log you on because your account has been locked out, please contact your administrator.

Это уведомление, говорит о том, что акаунт заблокирован (locked). Это не тоже самое, что «отключен» (disabled). В первом случае учетная запись нейтрализуется на некоторое время, и это происходит автоматически, без участия администратора. А во втором отключается системным администратором вручную.

Оказалось, что данная тема актуальна до сих пор. И мне постоянно приходиться отвечать на вопросы, не только начинающих, но и опытных администраторов.

Сообщение о блокировке учетной записи выглядит как показано на рисунке (см. рисунок 1).

Рисунок 1 – Сообщение об ошибке, которое получает пользователь с заблокированной учетной записью

Природа этого явления заключается в том, что было предпринято несколько попыток ввода неверного пароля. В домене вы можете настроить групповую политику, которая будет регламентировать количество попыток ввода паролей и время, на которое акаунт будет заблокирован. В случае если правильный пароль не будет введен, то акаунт будет заблокирован, а пользователь получит уведомление, как показано выше, на рисунке 1.

Для того, чтобы определить политику запустите Group Policy Management Consoleю.

По умолчанию политика выглядит так, как показано на рисунке (см. Рисунок 2):

Читайте также:  Гугл майл ру почта интернет

РиРисунок 2 – Политика Account Lockut Policy по умолчания

Предположим, что вы хотите, ограничить количество неправильных вводов пароля пятью попытками, а потом блокировать акаунт на 30 минут. Для этого вам нужно отредактировать Default Domain Policy (помним, что политики паролей в доменах Win 2003 применяются к уровню ДОМЕНА)- Выберите Computer Configuration -> Windows Settings -> Security Settings -> Account Policy -> Account Lockout Policy. Затем отредактируйте параметры групповой политики. Значение параметрп Account lockout duration – определяет время, на которое акаунт будет заблокирован. Account lockout threshold – определяет количество попыток ввода, после которого акаунт будет заблокирован. И наконец последний параметр – Reset account lockout counter after – определяет время, по истечению которого будет сброшен счетчик попыток. Например, если вы определили, что после пяти попыток акаунт будет заблокирован, а сделали только две попытки входа, а потом, например ушли пить чай, то по истечении этого установленного времени счетчик обнулиться и у вас опять будет пять попыток.

Попробуйте изменить любой из параметров и система предложит вам оптимальные, с ее точки зрения, значения остальных параметров (см. Рисунок 3).

Рисунок 3 – Значения, которые предлагает система

Вы можете согласиться, а потом, при необходимости, изменить их по совему усморению. Например, если вы установите значение параметра Account lockout threshold соответствющее 5, а затем нажмете OK, то система предложит вам 30 минутное значение для остальных параметров. Как показано на рисунке 3.

После того, как политика будет определена Вы можете известить ваших пользователей о том, что после того как они введут неверный пароль несколько раз его учетная запись будет «заблокирована» (locked). Что бы снять блокировку нужно снять галочку «Account is locked out» в свойствах пользователя, как показано на рисунке 4.

Рисунок 4 – «Account is locked out» в свойствах пользователя

Иногда блокировка акаунта происходит без видимых причин. И не смотря на то, что блокир
овка так просто снимается, в некоторых случаях, это не решает проблему. Через некоторое время пользователь может обнаружить, что его учетная запись опять заблокирована. Причин тому может быть несколько и я опишу их далее. Иногда определить причины бывает довольно сложно. Основная сложность в определении компьютера, с которого происходят попытки ввода неверных паролей.

В журнале безопасности, для отслеживания подобных событий, существует запись с кодом 680, от источника Security, категории Account Logon.

Рисунок 5 – Вид сообщения из Журнала Событий

В этой записи (см. рисунок 5) показана информация о том в какое время и с какого компьютера была предпринята попытка ввода неверного пароля. Конечно есть способ реагировать на событие немедленно. Я писал о нем в статье «Как отреагировать на событие». Если вы отслеживаете появления подобных записей и своевременно реагируете на них, то определить источник проблемы будет просто. Но, как правило, таких записей может быть ОГРОМНОЕ множество. И никто не реагирует на них немедленно, а расследует инцеденты потом. Пользователи часто ошибаются с вводом пароля. И не существует простого способа определить точное время того, когда акаунт был заблокирован. Как правило мы узнаем об этом через некоторое время, от самого пользователя.

В решении проблемы нам может помочь утилита Microsoft Account Lockout Status, которая входит в пакет утилит Account Lockout and Management Tools. Получить этот пакет можно на сайте Microsoft. Утилита была выпущена еще в 2003 году. Удивительно, что спустя много лет она все еще востребована.

Принцип работы утилиты заключается в том, что она анализирует журналы событий на всех контроллерах домена в сети и определяет на каком контроллере произошла блокировка, в какое время, а так же предоставляет дополнительную информацию, которая может помочь нам в расследовании. Так же утилита может помочь снять блокировку с учетной записи и многое другое.

Чтобы приступить к работе с утилитой вам нужно запустиь файл LockoutStatus.exe. Когда программа запуститься выберите меню File, а затем Select Target. В появившемся диалоговом окне,

Рисунок 6 – Окно ввода данных о пользователе, учетная запись которого блокируется>

в поле Target User Name, введите имя пользователя, у которого возникает проблема с учетной записью, а в поле Target Domain Name, введите имя домена в котором находиться учетная запись пользователя.

Обратите внимание на галочку – «Use Alternate Credentials». В случае если программа запущена с правами обычного пользователя то установив эту галочку вы можете запустить проверку от имени другого пользователя, входящего в группу Администраторы домена. Если же вы запустили программу от имени пользователя с правами доменного администратора, то устанавливать галку не нужно.

После не продолжительного процесса сбора информации вы увидите результаты работ, в котором будет отражено на каком контроллере домена была заблокирована запись, в какое время, сколько попыток ввода неверного пароля было предпринято и т.д. Все это показано на рисунке (см. Рисунок 7).

Рисунок 7 – результат работы программы

Из меню этой же программы вы можете снять блокировку с учетной записи. Для этого выберите контроллер домена, нажмите правой кнопкой, и в контекстном меню нажмите Unlock Account (см. Рисунок 8).

Рисунок 8 – Снимаем блокировку с учетной записи>

Это изменение моментально будет реплицировано на все контроллеры домена, и пользователь может тут же повторить попытку входа. Если пользователь забыл пароль, то выбрав Reset User’s Password вы можете его сменить.

Читайте также:  Как включить безопасный режим в яндекс браузере

Иногда, возникают ситуации, когда после удачного входа в систему проблема возвращается. Пользователь не может
получить доступ к сетевому ресурсу, не может повтороно войти в систему и т.д. Причин такому поведению может быть несколько. Я приведу лишь несколько самых популярных из них. Но помните, что универсального решения нет и каждый случай нужно расследовать индивидуально.

Например в сети может действовать злоумышленник, который пытается подобрать пароль от учетной записи пользователя. Второй распространённый вариант это использование одной учетной записи несколькими пользователями одновременно. В этом случае кто-то может постоянно вводить неверный пароль, тем самым мешать работе остальных пользователей. Начиная расследование, первое, что мы должны установить – это точное время происшествия. Установив время, мы легко сможем найти запись в журнале безопасности и понять с какого компьютера в сети производились попытки ввода неверного пароля. Как видно на рисунке 7 программа сообщает нам эти сведения. Щелкнув правой кнопки мыши по контроллеру домена и выбрав в контекстном меню Open Event Viewer (Открыть Журнал Событий). Так как мы теперь знаем точное время, когда была попытка входа, которая привела к блокировку учетной записи, мы без труда сможем найти событие и определить с какого компьютера было произведено действие повлекшее блокировку. Проблема решена – виновные наказаны!

Но кроме человеческого фактора есть еще и другие причины. Пожалуй самая распространенная причина в том, что когда вы настраиваете Назначенное Задание, которое выполняется от имени пользователя, а затем меняете пароль этого пользовател. Ваше задание все еще пытается выполнить вход со старым паролем. Естественно у него это не получается и акаунт блокируется.

Надеюсь, что после прочтения этой статьи у вас появилась ясность чем может быть вызвана проблема и как ее решить.

Михаил Даньшин

  • Рубрика: Windows,Новое
  • Автор: Михаил Даньшин
  • Дата: Thursday 19 Nov 2009

Комментарии

  • Борис
  • 20 November, 2009

Не могу не поделиться ещё парочкой вариантов возникновения Account Lock Out.

Предположим, что у вас стоит политика автоматической смены паролей (ну не раз в 40 дней по умолчанию, а хотя бы раз в полгода). На следующий день после смены пароля прямо с утра пользователь прибегает и жалуется на залоченный аккаунт. Совершенно не обязательно виновата дырявая память пользователя. Другие варианты:
1. Уже упомянутая запланированая задача.
2. Замапленые диски с кешированными паролями (не те, которые мапит ваш логон скрипт, а те что пользователь замапил руками).
3. Сервисы, работающие под аккаунтом пользователя.
и самое, пожалуй, неуловимое –
4. COM-объекты, запускающиеся от имени пользователя.
5. Виртуальные машины с любым из предыдущих пунктов, вытащенные из снапшота, клонированные, или просто давно не включавшиеся.

Ситуация 3 и 4 как правило связано с локальной установкой серверной части клиент-серверных приложений, и требует аккуратного исследования установок приложения и правильной его перенастройки после смены пароля.

Борис, огромное Вам спасибо за комменетарий! Уверен, что тем кто будет решать данную проблему будет полезна Ваша информация!

  • Андрей
  • 20 November, 2009

А еще в ИЕ запоминает пароли к закрытым ресурсам – и если используют доменную аутентификацию – то аккаунт лочится

Коллеги, отличная идея – собрать как можно больше таких вариантов. Это очень полезно и сможет облегчить жизнь многим системным администраторам. Спасибо Вам!

  • Данияр
  • 23 November, 2009

Помимо внутренних факторов существуют еще и внешние, например безопасная публикация веб-ресурсов через ISA сервер(OWA, SharePoint, ActiveSync и т.д.). Также возможно блокировка учетной записи через VPN клиентов. В отличие от внутренних атак, внешние атаки отследить и предотвратить намного сложнее. Зачастую приходится пригибать к программам стороннего производителя. Например, LockoutGuard для ISA Server (http://www.isaserver.org/tutorials/Prevent-Denial-Service-Attacks-Lockout-Guard.html)

Данияр, спасибо за комментарий. Лично мне мало приходится работать с ISA, но тем, кто с ним работает вплотную, уверен, будет интересно познакомиться с LockoutGuard.

  • Сергей
  • 1 December, 2009

Отличная статья, но утилита не всегда срабатывает &#128577;
И информация о заблокированной учетной записи идет с кодом
644

User Account Locked Out:
Target Account Name: vasiliy
Target Account ID: NNMvasiliy
Caller Machine Name: Server1
Caller User Name: DC_1$
Caller Domain: NNM
Caller Logon ID: (0x0,0x3E7)

Тут сразу видно, с какой машины была блокировка.

И все ж таки “несмотря” слитно пишется…

  • ruslan
  • 7 December, 2010

как вычислить сервисы работающие под аккаунтом пользователя

  • Антон
  • 10 April, 2012

Открой службу Services и там в столбце Log On As посмотри.

  • Бугага
  • 10 April, 2012

ай молодец Антончик ))) а дату то поста и не посмотрел

  • Бугого
  • 12 July, 2012

Да, молодец! Спасибо ему, а вот ваш коммент уныл и неуместен.

Привет всем!
А кто-нибуть сталкивался, когда в поле Source Workstation события 680, не указано название ПК? Как в таком случае определить, откуда происходит блокировка?

  • Андрей
  • 6 June, 2013

Еще проблема, появления блокировки учетной записи + блокируется учетная запись администратора.
Сервер windows 2003 (не в домене), сброшен (обнулен) BIOS (в данном случае из за проблем с материнской платой.) и в следствии чего сброшено время и дата.

Решение: войти в BIOS и поправить дату и время.

Вся трудность возникает в том что это всё происходит удаленно через RDP, и понять что это из за даты и времени трудно.

Решение: Выезжать самому (что не хочется) или просить пользователя поковыряться в BIOS &#128578;