Ebben a bejegyzésben megtudhatod, hogyan találhatod meg a fióklezárások forrását az Active Directoryban.
Mutatni fogok két módszert, az első a PowerShell segítségével, a második pedig egy általam készített GUI eszköz, amellyel szuperegyszerűvé válik a felhasználói fiókok feloldása és a lezárás forrásának megtalálása.
A felhasználók fiókjainak zárolása gyakori probléma, ez az egyik leggyakoribb hívás a helpdesk felé.
Ami frusztráló, az az, amikor feloldod a felhasználói fiókot, és az véletlenszerűen zárolódik. A felhasználó több eszközre is bejelentkezhetett (telefon, számítógép, alkalmazás stb.), és amikor megváltoztatja a jelszavát, az folyamatos zárolási problémákat okoz.
Ez az útmutató segít a zárolások forrásának felkutatásában.
Nézze meg:
- Videós bemutató
- 1. módszer: A PowerShell segítségével a fióklezárások forrásának megkeresése
- 1. lépés: Az ellenőrzés engedélyezése
- 2. lépés: Keresse meg a tartományvezérlőt a PDC emulátor szerepkörrel
- 3. lépés: A 4740-es eseményazonosító megtalálása a PowerShell segítségével
- 2. módszer: A User Unlock GUI eszköz használata a fiókzárlatok forrásának megtalálására
Videós bemutató
Ha nem szereti a videós bemutatókat, vagy további részleteket szeretne, akkor olvassa tovább az alábbi útmutatót.
1. módszer: A PowerShell segítségével a fióklezárások forrásának megkeresése
Mind a PowerShell, mind a GUI eszköznek be kell kapcsolnia az ellenőrzést, mielőtt a tartományvezérlők bármilyen hasznos információt naplóznának.
1. lépés: Az ellenőrzés engedélyezése
A 4740-es eseményazonosítót engedélyezni kell, hogy bármikor zárolásra kerüljön, amikor egy felhasználó ki van zárva. Ez az eseményazonosító tartalmazza a kizárás forrásszámítógépét.
1. Nyissa meg a Csoportházirend kezelése konzolt. Ez történhet a tartományvezérlőről vagy bármely olyan számítógépről, amelyre telepítve vannak az RSAT eszközök.
2. Módosítsa az Alapértelmezett tartományvezérlők házirendjét
Böngésszen az Alapértelmezett tartományvezérlők házirendjéhez, kattintson a jobb gombbal, és válassza a szerkesztés lehetőséget.
3. Válassza a szerkesztés lehetőséget. Módosítsa a Speciális ellenőrzési házirend konfigurációját
Böngészés a számítógép konfigurációja -> Biztonsági beállítások -> Speciális ellenőrzési házirend konfiguráció -> Ellenőrzési házirendek -> Fiókkezelés
A “Felhasználói fiókkezelés ellenőrzése” házirend sikerességének és sikertelenségének engedélyezése.
Az ellenőrzés mostantól be van kapcsolva, és a 4740-es esemény naplózva lesz a biztonsági eseménynaplókban, amikor egy fiókot kizárnak.
2. lépés: Keresse meg a tartományvezérlőt a PDC emulátor szerepkörrel
Ha egyetlen tartományvezérlője van (szégyellje magát), akkor átugorhatja a következő lépést…remélhetőleg legalább két DC-je van.
A PDC emulátor szerepkörrel rendelkező DC minden fióklezárást 4740-es eseményazonosítóval fog rögzíteni.
A PDCEmulator szerepkörrel rendelkező DC megtalálásához futtassa ezt a PowerShell parancsot
get-addomain | select PDCEmulator
3. lépés: A 4740-es eseményazonosító megtalálása a PowerShell segítségével
A 4740-es eseményben minden szükséges adat megtalálható. Most, hogy már tudja, melyik DC rendelkezik a pdcemulator szerepkörrel, szűrheti a naplókat erre az eseményre.
A PDCEmulator szerepkörrel rendelkező DC-n nyissa meg a PowerShellt, és futtassa ezt a parancsot
Get-WinEvent -FilterHashtable @{logname='security'; id=4740}
Ezzel a biztonsági eseménynaplókban keresni fogja a 4740-es eseményazonosítót. Ha vannak fióklezárások, akkor az alábbi listát kell kapnia.
Az események részleteinek megjelenítéséhez és a lezárás forrásának megismeréséhez használja ezt a parancsot.
Get-WinEvent -FilterHashtable @{logname='security'; id=4740} | fl
Ez megjeleníti a lezárás hívó számítógépének nevét. Ez a felhasználói fiók zárolásának forrása.
Az eseménynaplót is megnyithatja, és kiszűrheti a 4740
Ez az 1. módszer.
Bár ez a módszer működik, néhány manuális lépést igényel, és időigényes lehet. Az is előfordulhat, hogy a munkatársai nem ismerik a PowerShellt, és más funkciókat is el kell végezniük, például feloldani vagy visszaállítani a felhasználói fiókot.
Ezért hoztam létre az Active Directory User Unlock GUI eszközt. Ez az eszköz rendkívül megkönnyíti a munkatársak számára, hogy megtalálják az összes zárolt felhasználót és a fióklezárások forrását.
Nézze meg az alábbi lépéseket a feloldási gui-eszköz használatához.
2. módszer: A User Unlock GUI eszköz használata a fiókzárlatok forrásának megtalálására
Ezt az eszközt azért hoztam létre, hogy a személyzet bármely tagja számára szuperegyszerűvé tegye a fiókok feloldását, a jelszavak visszaállítását és a fiókzárlatok forrásának megtalálását.
A PowerShellhez hasonlóan ennek az eszköznek is be kell kapcsolnia a fiókkezelés ellenőrzését. Az ellenőrzési naplók engedélyezéséhez lásd a fenti lépéseket.
1. Nyissa meg a Felhasználó feloldása eszközt
2. Kattintson a Keresés gombra, majd kattintson a További részletek
Ez minden, amit kell.
Ezután látni fogja a fiók zárolásának idejének listáját és a forrásszámítógépet.
Ezeken kívül egyetlen eszközzel feloldhatja a fiókot és visszaállíthatja a jelszót. Az eszköz megjeleníti az összes zárolt fiókot, kiválaszthat egy vagy több fiókot a feloldáshoz.
A felhasználói feloldó eszköz az AD Pro Toolkit csomagomban található, ez egy 10 eszközből álló csomag, amely segít egyszerűsíteni és automatizálni a rutin AD feladatokat.
Remélem, hasznosnak találta ezt a cikket. Ha kérdésed vagy észrevételed van, tudasd velem az alábbi hozzászólásoddal.
Az ajánlott eszköz:
Ezt a segédprogramot az Active Directory és más kritikus szolgáltatások, például a DNS & DHCP felügyeletére tervezték. Gyorsan kiszúrja a tartományvezérlő problémáit, megelőzi a replikációs hibákat, nyomon követi a sikertelen bejelentkezési kísérleteket és még sok minden mást.
A SAM-ben a legjobban a könnyen használható műszerfal és a riasztási funkciók tetszenek. Képes a virtuális gépek és a tárolás felügyeletére is.
Töltse le az ingyenes próbaverziót innen
Megfelelően működik.