【系统运维】如何查找用户账号锁定位置

已于 2025-04-13 10:56:39 修改
阅读量1.1k 收藏 6
点赞数 4
文章标签: 运维 AD 账号
于 2024-05-14 21:51:09 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/aladinggao/article/details/138870469
版权

【问题】AD环境下,经常会遇到用户账号因输错密码次数超限而被锁的情况。
如果AD环境较简单还好说,但如果域控很多,要定位用户账号被锁在哪里就有点小麻烦了,比如开发人员可能会频繁登录多台服务器,如果某台服务器缓存了用户账号,一旦账号被锁,该如何定位源头?
P.S. 解释一下域控很多的情况,用户A是一家美国的跨国公司,AD环境里存在多个站点,美国总部是根域A.com,下面有多个子域,比如中国CN.A.com, 亚太AP.A.com, 欧洲EU.A.com...每个站点里都搭建了各个域的域控,相互之间同步、备份。 如下图,CN子域的域控在整个组织里就有12台。

【解决】估计微软也知道存在这个问题,所以提供了一个小工具,LockoutStatus
1. 下载安装后,运行这个工具,File菜单里选Select Target,

2. 输入用户账号跟域名,然后点OK按钮。

3.    在返回的结果里,着重看三项:
a. user state: Locked
b. Lockout Time: 锁定时间,后续会用
c. Orig Lock: 锁定源域控服务器名,后续会用

4. 远程登录到上一步Orig Lock找到的域控服务器,然后打开事件查看器。
5. 展开Windows日志 >>> Security,根据第三步Lockout Time的锁定时间,就能定位到账号被锁定在那台机器上了。

简单吧~ : )

-----EOF----

aladinggao
关注
排查域账户频繁锁定
qishine的专栏
12-02 1万+
最近2周一直被一个问题困扰,有用户频繁被锁定。但是无法找到用户从哪里发送的验证信息。 原因是为了加强安全监控,启用了用户账户锁定的通知。这个锁定通知是通过事件日志结合计划任务发送的,具体如何操作可以参考之前的文章《监控账户登录》或者《Windows 2012 R2 计划任务发送邮件》。 账户被锁定的唯一原因就是频繁的提供错误凭据做身份验证。当错误次数超过组策略里配置的限制次数后就会被锁定一段时间。锁定时间同样也是在组策略里配置的。这种锁定策略可以有效的保护账户安全,避免暴力破解。 现在账户被频繁锁定
谁锁了我的帐号?(AD账号锁定状态查询)
weixin_33890526的博客
03-05 915
随着微软基础架构的深入普及和各个企业对信息化建设的重视,在微软产品日益成熟的今天,域环境的应用也越来越广泛。都会接触到很多应用产品。无论是微软系列的产品本身,或者是现在的很多第三方应用,我们都希望能基于员工的域账号做一个统一的身份验证,从而严格控制微软平台上各个应用的访问权限的安全。因此,域账号的验证机制就体现得格外重要。 无论是在甲方公司日常的运维中,...
域内检测账号被锁情况的工具
07-22
检查AD账号锁定状态,“什么时候被锁”,“在哪台服务器被锁”,“输错密码已经几次了”
lockoutstatus查询AD账户锁定工具
06-28
lockoutstatus查询AD账户锁定工具lockoutstatus查询AD账户锁定工具lockoutstatus查询AD账户锁定工具lockoutstatus查询AD账户锁定工具lockoutstatus查询AD账户锁定工具lockoutstatus查询AD账户锁定工具lockoutstatus查询AD账户锁定工具
如何查询域账户被锁定的原因
最新发布
weixin_42494218的博客
03-26 2639
如何查询域账户被锁定的原因
如何在AD中方便查询被锁定的帐号状态和特定条件的查询被锁定的帐号
weixin_34329187的博客
04-20 1284
背景 你们有没有试过这样一个情况,为了加强AD域的帐号安全,防止帐号被恶意的密码枚举,所以在AD域中设置了帐号锁定的策略,当你设置了帐号锁定策略之后,发现真的有很多的用户反馈帐号用不了了,查看这个用户的帐号时原来已经被锁定了,这时肯定就需要解锁。 目的 上了帐号锁定策略后,才知道网络中原来有这么多的不安全,为了能够方便的批量为帐号解锁,另外又想要做一些相关的帐号锁定测试...
查询域用户锁定日志
qq_43091539的博客
09-22 2636
查询域用户锁定日志
域用户频繁锁定
weixin_33777877的博客
01-28 660
最近发现大量域用户频繁锁定,日志如下: 事件类型: 审核失败 事件来源: Security 事件种类: 帐户登录 事件 ID: 675 日期: 2010-1-28 事件: 14:33:16 用户: NT AUTHORITY\SYSTEM 计算机: AD01 描述: 预验证失败: 用...
明御运维审计与册风险控制系统用户办法
06-24
- **搜索用户组成员:**查找用户组内的具体成员。 #### 七、资产管理 资产管理模块用于管理网络中的各类资产,包括主机、账户以及应用托管等。 ##### 主机管理 - **添加主机:**录入新主机的信息,如IP地址、...
UOS运维工具UOS运维工具
04-15
【UOS运维工具】是专为UOS操作系统设计的一款实用工具集,主要目的是为了帮助运维人员解决日常维护中遇到的各种问题,如忘记密码、磁盘空间不足、账号锁定以及磁盘分区损坏等。该工具提供了丰富的功能,简化了运维...
AD账号锁定诊断
09-23
详细分析AD账号 lockout的几种可能性 制定相关解决方案对账号进行解锁。
运维系统安全管理制度1
08-08
运维系统安全管理制度是确保IT基础设施稳定运行和数据安全的重要措施。这一制度涵盖了多个关键领域,旨在防止未经授权的访问、减少安全漏洞和防范潜在攻击。以下是根据提供的内容详细阐述的几个核心知识点: 1. **...
什么是IT系统运维的KPI&SLA指标?
zhujiangfengsf的博客
03-02 1075
系统整体颜色风格需保持一致,同一页面同类字体的字体类型需保持一致,同页面同级别字体大小需保持一致,页面整体需突出页面顶部导航需让用户明确此时所在功能页面,并且有比较清晰的页面跳转指引(如返回箭头),同类功能交互应尽量保持一致;在项目投产后的转入正式运维的过渡阶段,延用项目组团队资源解决生产环境问题,由技术支持组接到用户通过各种渠道反馈的问题后,录入项目JIRA系统,由项目组依据下表所述的技术支持服务指标,进行处理,并记录处理过程。使运维人员、研发人员、技术支持人员和相关用户,能够方便的理解和进行配置。
Linux运维-Linux系统用户及组管理-用户账号安全策略
用户权限管理在Linux系统中是非常重要的一部分,通过对用户账号的管理,可以有效控制系统的安全性。本章将介绍Linux系统用户的添加、删除以及权限和角色的管理。 #### 1.1 用户账号的添加与删除 在Linux系统中,...
账号频繁被锁
weixin_46618348的博客
06-08 1602
然后到对应DC日志上查看被锁的原因,打开事件管理器-安全日志-查找-输入工号即可。使用工具LockoutStatus.exe 查看在那台域控上被锁。
Server系列1:如何查询域账户被锁定?(done)
weixin_34392906的博客
03-14 906
不是多么新的技术点,但是却是很实用的一招,写给大家,节省时间来做工作。LADP命令:(&(objectCategory=Person)(objectClass=User)(lockoutTime>=1))ok....到这边,我们就可以查询到组织内部被锁定的域用户账户,予以解锁。这个查询,理论上是支持windowsserver2003/win...
ad锁定的账户_如何在AD中方便查询被锁定的帐号状态和特定条件的查询被锁定的帐号...
weixin_36285258的博客
12-31 2015
背景你们有没有试过这样一个情况,为了加强AD域的帐号安全,防止帐号被恶意的密码枚举,所以在AD域中设置了帐号锁定的策略,当你设置了帐号锁定策略之后,发现真的有很多的用户反馈帐号用不了了,查看这个用户的帐号时原来已经被锁定了,这时肯定就需要解锁。目的上了帐号锁定策略后,才知道网络中原来有这么多的不安全,为了能够方便的批量为帐号解锁,另外又想要做一些相关的帐号锁定测试,方便的找出帐号锁定的原因,下面教...
查询所有被锁定的域用户帐户
cunxinwenwu的IT专栏
09-18 3981
枚举锁定用户帐户使用保存查询 按照这些循序渐进的说明向所有列表当前 Windows Server 2003 域中帐户锁定: 1 登录到域控制器在域中有管理特权并打开 ActiveDirectory 用户和计算机。. 右键单击保存查询并选择新建 > 查询。3 . 赋予查询名称和可选说明。 单击上定义查询。4 . 从框下拉对话框中选择自定义搜索。5 . 单击高级上并在查询框中输入此 LDAP
AD域帐号被锁问题排查
热门推荐
IT经验分享
06-17 1万+
今天碰到10几个人反映有些软件不好用,登录域后,无法访问共享。当时我比较奇怪,到客户端一一检查意见,共享服务及软件运行服务全部正常。就尝试重启一下客户端,重启后就可以正常使用。但是有的也无法使用。我就检查AD服务器。发现这些帐号是锁定状态,我就将其“启用”开始使用。过差不多3个小时后又出现相同问题。我就将策略中“用户登录事件”打开来“审核[成功]及[失败]”事件。找到日志如下,请大家帮我分析一下。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值