La cuenta AD sigue bloqueándose – TrucosInformaticos

General

Política de bloqueo de cuentas de usuario de AD utilizada para proteger contra ataques de contraseña de fuerza bruta. Sin embargo, algunos usuarios tienen eventos repetidos de bloqueo de cuentas que ocurren aleatoriamente sin un incidente de ataque de inicio de sesión. En este artículo, veremos cómo encontrar la fuente (computadora o servicio) de un bloqueo de cuenta de usuario en un dominio de Active Directory.

Si la cuenta de un usuario está bloqueada, recibirá el siguiente error en la pantalla de inicio de sesión cuando intente iniciar sesión en las computadoras del dominio:

La cuenta a la que se hace referencia está actualmente bloqueada y no se puede iniciar sesión en ella.

Esto puede suceder después de varios intentos fallidos de inicio de sesión con una contraseña incorrecta o sin la intervención del usuario cuando un servicio (aplicación) intenta utilizar una contraseña de usuario antigua guardada.

Política de bloqueo de cuentas en el dominio de Active Directory

Un evento de bloqueo de cuenta indica que la política de seguridad del dominio de Active Directory bloquea automáticamente la cuenta de usuario de forma temporal. La política de bloqueo de cuentas de Doman se puede configurar usando el Política de dominio predeterminada o usando una costumbre Objeto de política de contraseñas.

La política de bloqueo le permite configurar los siguientes parámetros:

  • Umbral de bloqueo de cuenta;
  • Duración del bloqueo de la cuenta;
  • Restablecer el contador de bloqueo de cuenta después

Ejecute el siguiente comando de PowerShell para obtener la configuración de política de bloqueo de cuenta resultante que se aplica al usuario específico:

Get-ADUserResultantPasswordPolicy -Identity [username]

Si el comando no devuelve nada, el usuario se ve afectado por la configuración de política de bloqueo de dominio predeterminada. Enumere la configuración de bloqueo de GPO predeterminada:

Get-ADDefaultDomainPasswordPolicy | select *lockout*|ft

desbloquear cuenta. esta cuenta está actualmente bloqueada en este controlador de dominio del directorio activo

Además, puede ver o cambiar la configuración de bloqueo predeterminada en la GUI de la consola de administración de políticas de grupo (Configuración de la computadora > Políticas > Configuración de Windows > Configuración de seguridad > Políticas de cuenta > Política de bloqueo de cuenta).

esta cuenta está actualmente bloqueada en este controlador de dominio

En este caso, se bloqueará una cuenta después de 5 intentos fallidos de iniciar sesión con una contraseña incorrecta. El tiempo de bloqueo es de 30 minutos, transcurrido el cual el usuario se desbloquea automáticamente.

Nota. Si LockoutDuration = 0, dicha cuenta nunca se desbloqueará automáticamente. Sólo el administrador del dominio puede eliminar el bloqueo.

Un administrador puede desbloquear manualmente la cuenta de usuario utilizando el complemento Usuarios y computadoras de Active Directory. Encuentra el usuario, ve a la Cuenta pestaña, marque la casilla Desbloquear pestaña de cuenta. Esta cuenta está actualmente bloqueada en este controlador de dominio de Active Directory y presione Aceptar.

la cuenta está actualmente bloqueada en este controlador de dominio del directorio activo

También puedes usar PowerShell para enumerar todas las cuentas bloqueadas en un dominio:

Search-ADAccount -LockedOut -UsersOnly | Select-Object Name, SamAccountName, Lockedout

el usuario sigue siendo bloqueado fuera del dominio

Desbloquear cuenta de usuario de AD específica:

Unlock-ADAccount jjackson –Confirm

Si desea desbloquear todas las cuentas a la vez, ejecute:

Search-ADAccount –LockedOut -UsersOnly | Unlock-ADAccount

Habilite la política de auditoría de bloqueo de cuentas en Active Directory

Pero en algunos casos, las cuentas de usuario se bloquean sin motivo aparente. En esta situación, los usuarios informan que no han hecho nada y nunca han ingresado una contraseña incorrecta, pero su cuenta se mantiene bloqueada. El administrador puede eliminar manualmente el bloqueo a petición del usuario, pero después de un tiempo la situación se repite.

En este caso, un administrador necesita encontrar el origen de los eventos de bloqueo de la cuenta que están provocando el bloqueo. Esto se puede hacer usando el Auditar la gestión de cuentas de usuario política:

  1. Abra la Consola de administración de políticas de grupo (gpmc.msc);
  2. Edite la Política de controladores de dominio predeterminada;
  3. Navegar a Configuración de la computadora > Políticas > Configuración de Windows > Configuración de seguridad > Políticas locales > Política de auditoría
  4. Seleccionar Gestión de cuentas de auditoría política;
  5. Habilite las casillas de verificación: Definir estas configuraciones de política, Auditar estos intentos: Éxito y Falla. Guarde los cambios en el GPO.
    la cuenta publicitaria del usuario sigue bloqueándose
  6. Luego navegue hasta Configuración de la computadora > Políticas > Configuración de Windows > Configuración de seguridad > Configuración avanzada de la política de auditoría > Políticas de auditoría > Inicio de sesión de cuenta;
  7. Habilitar el Auditar el servicio de autenticación Kerberos política con el Éxito y Falla opciones. desbloquear cuenta. esta cuenta está actualmente bloqueada
  8. Vaya a Configuración del equipo > Políticas > Configuración de Windows > Configuración de seguridad > Política de auditoría avanzada > Inicio/Cierre de sesión. Habilitar el Política de bloqueo de cuentas de auditoría; cuenta publicitaria bloqueándose constantemente
  9. Espere un momento hasta que la política se aplique a todos los controladores de dominio.

Cómo encontrar la fuente de bloqueo de cuenta en el dominio

Los eventos de bloqueo de cuentas se procesan en el emulador de PDC. Utilice el siguiente comando de PowerShell para buscar el controlador de dominio que ejecuta la función FSMO del emulador de PDC:

get-addomain | select PDCEmulator

la cuenta publicitaria se bloquea con frecuencia

El ID de evento 4740 aparece en el registro de eventos de seguridad en el emulador de PDC cuando se bloquea una cuenta de usuario.

Inicie sesión en el PDC y abra el Visor de eventos (eventvwr.msc). Expandir Visor de eventos > Registros de Windows > Seguridad. Haga clic derecho en Seguridad elemento y seleccione Filtrar registro actual.

la cuenta publicitaria sigue bloqueándose

Filtrar el registro de seguridad por ID de evento 4740.

la cuenta de dominio sigue bloqueándose

Verá una lista de eventos de bloqueo de cuentas en el PDC con un mensaje: Se bloqueó una cuenta de usuario. Busque la entrada más reciente en el registro que contiene el nombre del usuario requerido en el Nombre de cuenta valor. Busque el nombre de la computadora desde la cual ocurrió el evento de bloqueo en los detalles del evento (Nombre de la computadora que llama). En este caso, el nombre de la computadora es SEMANA11.

usuario del anuncio bloqueado con frecuencia

Si no puede encontrar el ID del evento 4720 con un bloqueo de usuario, o si el valor del Nombre de la computadora que llama está vacío, debe verificar el registro de seguridad del controlador de dominio para el ID del evento 4771.

  1. Habilite el filtro de registro de seguridad por ID de evento 4771;
  2. Encontrará varios eventos del servicio de autenticación Kerberos;
  3. Revise todos los eventos de «Error de autenticación previa de Kerberos» para el elemento que contiene Código de falla: 0x18. Este código de error indica lo siguiente “Las credenciales del cliente han sido revocadas. Cuenta deshabilitada, vencida, bloqueada, horas de inicio de sesión”;
  4. En este caso, el Dirección del cliente El campo en la descripción del evento contendrá la dirección IP de una máquina en la que ocurrió el evento de bloqueo.
    cuenta de usuario bloqueada con frecuencia Windows 10
  5. En este ejemplo, el dispositivo con dirección IP 172.16.61.9 inició el bloqueo de la cuenta de usuario.

Obtener la fuente de bloqueo de cuenta mediante PowerShell

Además, puede encontrar la fuente de bloqueo de la cuenta en el controlador de dominio principal mediante PowerShell. Enumere los últimos eventos de bloqueo de cuenta en el PDC:

$properties = @('TimeCreated',@{n='Account Name';e={$_.Properties[0].Value}},

@{n='Caller Computer Name';e={$_.Properties[1].Value}})

Get-WinEvent -FilterHashTable @{LogName="Security"; ID=4740} | Select $properties

la cuenta publicitaria sigue bloqueándose

El origen del bloqueo de la cuenta se especifica en la Nombre de la computadora que llama propiedad.

Puede encontrar las fuentes de eventos de bloqueo para un usuario específico en los últimos 2 días usando el comando:

$username = ‘m.becker’

$pdcname=(get-addomain).PDCEmulator

$Date = (Get-Date).AddDays(-2)

Get-WinEvent -computername $pdcname -FilterHashtable `

@{logname="security";id=4740;data="m.becker"; StartTime=$Date} |`

Select-Object -Property timecreated,`

@{label="username";expression={$_.properties[0].value}},`

@{label="computername";expression={$_.properties[1].value}}

la cuenta publicitaria sigue bloqueándose

Causas comunes de bloqueos de cuentas

En la mayoría de los casos, el bloqueo de la cuenta comienza después de que el usuario cambia la contraseña del dominio. Un bloqueo periódico de una cuenta puede deberse a diferentes motivos:

  1. En realidad, se está realizando un ataque de fuerza bruta en su dominio. Encuentre la computadora de origen de acuerdo con esta guía y desconéctela de la red;
  2. Errores de usuario al escribir una contraseña. El usuario comete un error al ingresar una contraseña u olvida la contraseña que fue cambiada recientemente;
  3. Sesión RDP/RDS desconectada: generalmente ocurre si el usuario cerró la sesión remota en lugar de cerrar sesión. Puede evitar este problema configurando la política de forzar el cierre de sesiones de escritorio remoto inactivo en el dominio (opción de GPO: Establecer límite de tiempo para sesiones de Servicios de Escritorio remoto activas pero inactivas);
  4. Servicio de Windows ejecutándose con la contraseña de usuario guardada. No utilice la cuenta de usuario para ejecutar servicios en servidores/computadoras de dominio. En su lugar, utilice una cuenta de servicio separada o una Cuenta de servicio administrada (MSA);
  5. Credenciales de usuario guardadas en los trabajos del Programador de tareas. Al igual que con los servicios, las cuentas de usuario se suelen utilizar para ejecutar la tarea del programador. Es mejor utilizar cuentas de servicio para ejecutar tareas programadas;
  6. Unidades de red asignadas persistentes con credenciales guardadas;
  7. Dispositivos móviles con credenciales de usuario guardadas: verifique la configuración del cliente de correo electrónico en su dispositivo móvil para ver las credenciales de AD guardadas (como Outlook, ActiveSync, etc.). Las redes guardadas (contraseñas para conexiones Wi-Fi) también se pueden asignar a esta categoría (si utiliza la autenticación Wi-Fi con Windows Active Directory a través del servidor Radius);
  8. Contraseña guardada en los navegadores;
  9. Contraseña de usuario guardada en el Administrador de credenciales de Windows. Abra el Administrador de credenciales (rundll32.exe keymgr.dll, KRShowKeyMgr) y elimine todas las credenciales guardadas.

Uso de la herramienta de bloqueo de cuentas para realizar un seguimiento de los eventos de bloqueo

Puedes utilizar el práctico gráfico. LockoutStatus.exe herramienta para encontrar la fuente del bloqueo de la cuenta (Herramientas de gestión y bloqueo de cuentas).

Descargue la herramienta de administración y bloqueo de cuentas de Microsoft (ALTools.exe)extraiga el archivo y ejecute LockoutStatus.exe. Seleccionar menú Archivo > Seleccionar destino e ingrese el nombre de usuario necesario (SAMAccountName).

la cuenta de usuario sigue bloqueándose

La utilidad LockoutStatus.exe busca eventos con ID de evento 4740 en los registros del controlador de dominio y muestra los datos resumidos de los eventos y la cuenta de usuario bloqueada.

Aquí puede ver el estado actual del usuario en todos los DC (bloqueado), Tiempo de bloqueo, el valor de Recuento de contraseñas incorrectas en cada DC y el nombre de la computadora desde la cual ocurrió el bloqueo (Bloqueo original).

la cuenta de dominio sigue bloqueándose

Puede desbloquear la cuenta de usuario directamente desde la herramienta en lugar de utilizar la consola ADUC. Para hacer esto, seleccione un DC, haga clic derecho en el usuario y seleccione ‘Desbloquear cuenta‘. También puede cambiar la contraseña de usuario seleccionando el botón ‘Restablecer la contraseña del usuario‘elemento del menú.

usuario del directorio activo bloqueado repetidamente

¡Eso es todo! ¡Espero que esto haya sido útil para solucionar los problemas cuando la cuenta AD sigue bloqueándose!

Valora este post

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *