Описание проблемы:
Несколько раз в день, с периодичностью примерно раз в час происходило залочивание акаунта.
Акаунт, прописанный в AD, получал статус "locked out". Не путать с "disabled". Поиск следов в Event View осложнялся тем, что в крупной сети много событий, а точное время события установить невозможно. Так же не понятно было, что именно искать. На первый взгляд в Event Log не было сообщений относящихся к делу.
Решение:
В решении помогла утилита Account Lockout and Management Tools. Она помогла установить точное время лочинья акаунта, а так же сервер который непосредственно лочил акаунт (на этот сервер пыталось что то пробиться). Дальнейший анализ логов в Event View -> Secyrity помог установить, с какой именно машины пытались вломиться, а дальше дело техники.
Дополнительно:
Account Passwords and Policies in Windows Server 2003
Account Passwords and Policies
Михаил, спасибо огромное за ссылку на утилиту! За пять минут решил проблему, а время Ч было уже на подходе. Удачи! Станислав.
ОтветитьУдалитьСтанислав, всегда рад помочь! Если что-то понадобится - пишите!
ОтветитьУдалитьСпасибо. До этого голову долго ломал:)
ОтветитьУдалитьОчень рад, что смог быть полезен!
ОтветитьУдалитьа можно про решение проблемы поподробнее? я чайник. после установления с какой именно машины ломится и на какой сервак что делать дальше непонятно(дело техники) - как избавиться от этой напасти? каспер и симантек ничего не находят
ОтветитьУдалитьХм, а в чем проблема? Вы определили с какой машины происходит лоченье? Если да, то вам нужно произвести диагностику на предмет запущенных сервисов и служб, которые могут от имени пользователя пытаться выполнять какое-то действие.
ОтветитьУдалитьСамый частый пример - это когда вы настраиваете Назначенное Задание, которое выполняется от имени пользователя. После смены пароля пользователя, ваше задание, все еще пытается выполнить вход. Естественно у него это не получается и акаунт лочится.
спасибо за совет..с какой машины определил, назначенных заданий точно нет.буду диагностировать когда освободится комп сотрудника
ОтветитьУдалитьВсегда рад быть полезен!
ОтветитьУдалитьБуду рад ответить на любые вопросы.
Михаил, спасибо огромное!!! Желательно было бы расписать более подробно ваши действия, благодаря соображалке справились. Проблема оказалась в том что на один комп засел W32.Downadup.B.
ОтветитьУдалитьДобрый день!
ОтветитьУдалитьСпасибо за отзыв. Рад, что смог быть Вам полезен. Данную тему я раскрыл в своей статье "Решаем проблему внезапной блокировки учетной записи". Статья была опубликована в журнале Системный Администратор и на моем блоге по следующей ссылке http://www.danshin.ms/2009/11/blog-post_20.html