понедельник, 22 января 2007 г.

Account is locked out

Ну намучился же я...

Описание проблемы:
Несколько раз в день, с периодичностью примерно раз в час происходило залочивание акаунта.
Акаунт, прописанный в AD, получал статус "locked out". Не путать с "disabled". Поиск следов в Event View осложнялся тем, что в крупной сети много событий, а точное время события установить невозможно. Так же не понятно было, что именно искать. На первый взгляд в Event Log не было сообщений относящихся к делу.

Решение:
В решении помогла утилита Account Lockout and Management Tools. Она помогла установить точное время лочинья акаунта, а так же сервер который непосредственно лочил акаунт (на этот сервер пыталось что то пробиться). Дальнейший анализ логов в Event View -> Secyrity помог установить, с какой именно машины пытались вломиться, а дальше дело техники.

Дополнительно:

Account Passwords and Policies in Windows Server 2003

Account Passwords and Policies

Опубликовано в

10 комментариев:

  1. Анонимный23 апреля 2008 г. в 11:40

    Михаил, спасибо огромное за ссылку на утилиту! За пять минут решил проблему, а время Ч было уже на подходе. Удачи! Станислав.

    ОтветитьУдалить
  2. Михаил Даньшин23 апреля 2008 г. в 16:20

    Станислав, всегда рад помочь! Если что-то понадобится - пишите!

    ОтветитьУдалить
  3. Анонимный29 июля 2009 г. в 16:50

    Спасибо. До этого голову долго ломал:)

    ОтветитьУдалить
  4. Михаил Даньшин29 июля 2009 г. в 17:09

    Очень рад, что смог быть полезен!

    ОтветитьУдалить
  5. Анонимный30 июля 2009 г. в 12:56

    а можно про решение проблемы поподробнее? я чайник. после установления с какой именно машины ломится и на какой сервак что делать дальше непонятно(дело техники) - как избавиться от этой напасти? каспер и симантек ничего не находят

    ОтветитьУдалить
  6. Михаил Даньшин30 июля 2009 г. в 13:28

    Хм, а в чем проблема? Вы определили с какой машины происходит лоченье? Если да, то вам нужно произвести диагностику на предмет запущенных сервисов и служб, которые могут от имени пользователя пытаться выполнять какое-то действие.
    Самый частый пример - это когда вы настраиваете Назначенное Задание, которое выполняется от имени пользователя. После смены пароля пользователя, ваше задание, все еще пытается выполнить вход. Естественно у него это не получается и акаунт лочится.

    ОтветитьУдалить
  7. Анонимный30 июля 2009 г. в 14:25

    спасибо за совет..с какой машины определил, назначенных заданий точно нет.буду диагностировать когда освободится комп сотрудника

    ОтветитьУдалить
  8. Михаил Даньшин30 июля 2009 г. в 14:46

    Всегда рад быть полезен!

    Буду рад ответить на любые вопросы.

    ОтветитьУдалить
  9. Unknown19 января 2010 г. в 12:59

    Михаил, спасибо огромное!!! Желательно было бы расписать более подробно ваши действия, благодаря соображалке справились. Проблема оказалась в том что на один комп засел W32.Downadup.B.

    ОтветитьУдалить
  10. Михаил Даньшин19 января 2010 г. в 15:10

    Добрый день!

    Спасибо за отзыв. Рад, что смог быть Вам полезен. Данную тему я раскрыл в своей статье "Решаем проблему внезапной блокировки учетной записи". Статья была опубликована в журнале Системный Администратор и на моем блоге по следующей ссылке http://www.danshin.ms/2009/11/blog-post_20.html

    ОтветитьУдалить

Подписаться на: Комментарии к сообщению (Atom)