In questo post imparerete come trovare la fonte del blocco degli account in Active Directory.
Vi mostrerò due metodi, il primo usa PowerShell e il secondo è uno strumento GUI che ho creato che rende super facile sbloccare gli account degli utenti e trovare la fonte del blocco.
Gli utenti che bloccano i loro account è un problema comune, è una delle principali chiamate all’helpdesk.
Quello che è frustrante è quando si sblocca un account utente e continua a bloccarsi in modo casuale. L’utente potrebbe essere connesso a più dispositivi (telefono, computer, applicazione e così via) e quando cambiano la loro password causerà continui problemi di blocco.
Questa guida ti aiuterà a rintracciare la fonte di questi blocchi.
Guarda qui:
- Video Tutorial
- Metodo 1: Usare PowerShell per trovare la fonte del blocco dell’account
- Passo 1: Abilitare l’auditing
- Passo 2: Trova il controller di dominio con il ruolo di emulatore PDC
- Step 3: trovare l’ID evento 4740 usando PowerShell
- Metodo 2: Usare lo strumento GUI di sblocco utente per trovare la fonte dei blocchi degli account
Video Tutorial
Se non ti piacciono i video tutorial o vuoi maggiori dettagli, allora continua a leggere le istruzioni qui sotto.
Metodo 1: Usare PowerShell per trovare la fonte del blocco dell’account
Sia PowerShell che lo strumento GUI hanno bisogno di attivare l’auditing prima che i controller di dominio registrino qualsiasi informazione utile.
Passo 1: Abilitare l’auditing
L’evento ID 4740 deve essere abilitato in modo che venga bloccato ogni volta che un utente è bloccato. Questo ID evento conterrà il computer di origine del blocco.
1. Aprite la console di gestione dei criteri di gruppo. Questo può essere dal controller di dominio o da qualsiasi computer che ha gli strumenti RSAT installati.
2. Modifica la politica dei controller di dominio predefiniti
Cerca la politica dei controller di dominio predefiniti, fai clic destro e seleziona modifica.
3. Modifica la configurazione avanzata dei criteri di controllo
Vai alla configurazione del computer -> Impostazioni di sicurezza -> Configurazione avanzata dei criteri di controllo -> Politiche di controllo -> Gestione dell’account
Abilita successo e fallimento per la politica “Audit Gestione account utente”.
L’auditing è ora attivato e l’evento 4740 sarà registrato nei log degli eventi di sicurezza quando un account è bloccato.
Passo 2: Trova il controller di dominio con il ruolo di emulatore PDC
Se hai un singolo controller di dominio (vergognati) allora puoi saltare al prossimo passo… si spera tu abbia almeno due DC.
Il DC con il ruolo PDC emulator registrerà ogni blocco dell’account con un ID evento 4740.
Per trovare il DC che ha il ruolo PDCEmulator esegui questo comando PowerShell
get-addomain | select PDCEmulator
Step 3: trovare l’ID evento 4740 usando PowerShell
Tutti i dettagli di cui hai bisogno sono nell’evento 4740. Ora che sai quale DC detiene il ruolo pdcemulator puoi filtrare i log per questo evento.
Sul DC che detiene il ruolo PDCEmulator apri PowerShell ed esegui questo comando
Get-WinEvent -FilterHashtable @{logname='security'; id=4740}
Questo cercherà nei log degli eventi di sicurezza l’evento ID 4740. Se hai qualche blocco dell’account dovresti avere un elenco come quello che segue.
Per visualizzare i dettagli di questi eventi e ottenere la fonte del blocco usa questo comando.
Get-WinEvent -FilterHashtable @{logname='security'; id=4740} | fl
Questo mostrerà il nome del computer chiamante del blocco. Questa è la fonte del blocco dell’account utente.
Puoi anche aprire il registro eventi e filtrare gli eventi per 4740
Questo è tutto per il metodo 1.
Anche se questo metodo funziona, richiede alcuni passi manuali e può richiedere tempo. Potresti anche avere del personale che non ha familiarità con PowerShell e che ha bisogno di eseguire altre funzioni come sbloccare o resettare l’account dell’utente.
Ecco perché ho creato lo strumento Active Directory User Unlock GUI. Questo strumento rende super facile per lo staff trovare tutti gli utenti bloccati e l’origine del blocco dell’account.
Guarda i passi qui sotto per usare lo strumento GUI di sblocco.
Metodo 2: Usare lo strumento GUI di sblocco utente per trovare la fonte dei blocchi degli account
Ho creato questo strumento per rendere super facile per qualsiasi membro dello staff sbloccare gli account, resettare le password e trovare la fonte dei blocchi degli account.
Proprio come PowerShell questo strumento richiede che l’auditing sia attivato per la gestione degli account. Vedi i passi sopra per abilitare questi registri di controllo.
1. Aprire lo strumento User Unlock Tool
2. Fare clic sul pulsante di ricerca, quindi fare clic su ulteriori dettagli
Questo è tutto quello che c’è da fare.
Ora vedrete un elenco di volte che l’account è stato bloccato e il computer di origine.
Inoltre è possibile sbloccare l’account e resettare la password tutto da uno strumento. Lo strumento visualizzerà tutti gli account bloccati, è possibile selezionare un singolo account o più account da sbloccare.
Lo strumento di sblocco utente è incluso nel mio pacchetto AD Pro Toolkit, un pacchetto di 10 strumenti che aiutano a semplificare e automatizzare le attività di routine di AD.
Spero che tu abbia trovato utile questo articolo. Se avete domande o commenti fatemelo sapere inviando un commento qui sotto.
Strumento consigliato: SolarWinds Server & Application Monitor
Questa utility è stata progettata per monitorare Active Directory e altri servizi critici come DNS & DHCP. Individua rapidamente i problemi dei controller di dominio, previene i fallimenti della replica, tiene traccia dei tentativi di accesso falliti e molto altro ancora.
Quello che mi piace di più di SAM è il suo cruscotto facile da usare e le caratteristiche di allarme. Ha anche la capacità di monitorare le macchine virtuali e lo storage.
Scarica qui la tua prova gratuita