ユーザーアカウントが頻繁にロックアウトされる
Windows 2008/Windows 7環境で実行しています。
ユーザーの1人が、日常的に彼のActive Directoryアカウントからロックアウトされています。これは、各リセット後10〜18時間で発生します。
これは先週始まったばかりです。
ロックアウトの理由は、パスワード試行の失敗回数にあることがわかります。ただし、ユーザーが自分のシステムのロックを解除しても、失敗することはありません。
したがって、彼の資格情報(古い可能性がありますか?)を保持し、何らかの方法でネットワークにアクセスして、ロックアウトイベントをトリガーするサービスまたはアプリケーションが必要であると考えています。
これらの失敗したログインがどのコンピュータからのものかを知るために使用できるツールはありますか?この問題をさらにトラブルシューティングするために推奨できることはありますか?それは非常にイライラするようになりました。
ありがとう!
(これまでに他の回答で示唆されているように)ログダイビングではなく Microsoftのアカウントロックアウトツールを使用することをお勧めします 。
少なくとも、どのドメインコントローラをログダイビングに使用するかを示すのに非常に役立ちます。
(そして、はい、もともとは2000および2003用に開発されましたが、Server 2008 R2でも機能します。)
ユーザーがログオンに使用するActive Directoryサーバーで、セキュリティイベントログにエントリが見つかります。
イベントIDは4771(Kerberos認証サービス)の可能性があります
次のエントリのようになります。
Kerberos pre-authentication failed.
Account Information:
Security ID: DOMAIN/USERACCOUNT
Account Name: USERACCOUNT
Service Information:
Service Name: krbtgt/DOMAIN
Network Information:
Client Address: ::ffff: **172.17.xx.xx**
Client Port: 59596
Additional Information:
Ticket Options: 0x40810010
Failure Code: 0x18
Pre-Authentication Type: 2
Certificate Information:
Certificate Issuer Name:
Certificate Serial Number:
Certificate Thumbprint:
Certificate information is only provided if a certificate was used for pre-authentication.
Pre-authentication types, ticket options and failure codes are defined in RFC 4120.
If the ticket was malformed or damaged during transit and could not be decrypted, then many fields in this event might not be present.
Client Adress行は、ログオン試行がどのクライアント/サーバーからのものかを通知します。 (この例では172.17.xx.xx)
これは、多くの場合、(おそらく別のユーザーのワークステーションからの)古いパスワードを使用した永続的なネットワークドライブマッピングです。