Desbloqueando contas de usuário do Active Directory

O bloqueio de conta de usuário em um domínio é um dos motivos mais comuns pelos quais os usuários entram em contato com a equipe de suporte técnico. Na maioria dos casos, o bloqueio é causado por um usuário que esquece sua senha ou por um aplicativo que tenta usar uma senha anterior (salva) para autenticação depois que o usuário a alterou.

Conteúdo:

• Política de bloqueio de conta no Active Directory
• Como desbloquear uma conta de usuário usando o console do Active Directory (ADUC)
• Desbloqueie contas AD usando PowerShell

Política de bloqueio de conta no Active Directory

O bloqueio de conta de usuário é habilitado nas políticas de segurança padrão de um domínio do Active Directory.

Normalmente, as configurações de bloqueio do usuário são definidas noDefault Domain PolicyGPO (Configuração -> Windows Configurações -> Segurança Configurações -> Conta Política -> Conta Bloqueio Política). Existem três opções:

• Conta bloqueio limite– o número de tentativas falhadas de introdução de uma palavra-passe, após as quais o utilizador será bloqueado;
• Duração do bloqueio da conta– quanto tempo o usuário permanece bloqueado (em minutos). Um usuário é então desbloqueado automaticamente;
• Redefinir contador de bloqueio de conta após –o número de minutos após os quais o contador de login com falha é redefinido.

Essas configurações de bloqueio se aplicam a todos os usuários do domínio, exceto aos grupos aos quais foram atribuídas configurações especiais usando políticas de senha refinadas.

Saiba mais sobre políticas de senha no AD.

As linhas de base de segurança da Microsoft recomendam que os usuários sejam bloqueados após10tentativas de login malsucedidas. Isso é considerado ideal para proteção contra ataques de força bruta e DoS de senhas e é conveniente para usuários que frequentemente cometem erros ao inserir suas senhas.

A política de senha padrão no Entra ID (ex. Azure AD) bloqueia uma conta de usuário após 10 tentativas fracassadas de login.

Como desbloquear uma conta de usuário usando o console do Active Directory (ADUC)

Se uma conta de usuário estiver bloqueada, você verá a mensagem abaixo ao tentar fazer logon no Windows:

The referenced account is currently locked out and may not be logged on to.

Se um usuário de domínio reclama frequentemente que sua conta está bloqueada, você pode encontrar um computador e um processo que causa bloqueios constantemente procurando por IDs de eventos4740e4625no log de segurança do Controlador de Domínio Primário (consulte Como encontrar a origem do bloqueio de conta no Active Directory).

Um usuário não poderá fazer logon no Windows até que o período de bloqueio expire ou um administrador desbloqueie manualmente a conta.

Você pode desbloquear um usuário usando o console gráfico Usuários e Computadores do Active Directory (ADUC):

1. Abra odsa.mscconsole e encontre o usuário AD que deseja desbloquear;
2. Clique noContaguia. Se o usuário estiver bloqueado, deverá haver uma mensagem aquiUnlock account. This account is currently locked out on this Active Directory Domain Controller;
3. Marque esta opção e clique em OK para salvar as alterações;
4. A conta do usuário está desbloqueada e pode ser usada para fazer logon no domínio.

Por padrão, apenas administradores de domínio podem desbloquear usuários no AD. Você pode delegar permissões de desbloqueio a usuários não administradores para que eles possam desbloquear contas.

1. Clique na unidade organizacional (OU) que contém os usuários aos quais você deseja delegar permissões e selecioneDelegar controle;
2. Selecione um grupo de usuários aos quais deseja conceder permissões (por exemplo, nyHelpDesk);
3. Em seguida, selecioneCrie uma tarefa personalizada->Somente os seguintes objetos na pasta->Objetos de usuário;
4. Na lista de permissões, marque oEscreva lockoutTimecaixa;
5. Agora os membros do grupo nyHelpDesk podem desbloquear usuários.

Você pode ativar uma política de auditoria que permite descobrir quem desbloqueou uma conta de usuário:

1. Habilite oAuditoria de gerenciamento de conta de usuáriopolítica emDefault Domain ControllerGPO (Configuração do Computador -> Políticas -> Configurações do Windows -> Configurações de Segurança -> Configuração Avançada de Política de Auditoria -> Políticas de Auditoria -> Gerenciamento de Contas);
2. Você pode então rastrear eventos de desbloqueio de usuários procurando por EventID4767noSegurançafaça logon no controlador de domínio (A user account was unlocked);
3. Você também pode usar o PowerShell para localizar eventos por ID de evento:
   Get-WinEvent -FilterHashtable @{logname="Security";id=4767}|ft TimeCreated,Id,Message

Aumente o tamanho do log do Visualizador de Eventos nos controladores de domínio para armazenar mais eventos.

Desbloqueie contas AD usando PowerShell

Você pode usar oUnlock-ADAccountCmdlet do PowerShell para desbloquear usuários do AD. Este cmdlet está incluído no Módulo AD para Windows PowerShell.

Verifique se o usuário está bloqueado (Lockedout = true):

Get-ADUser -Identity j.brion -Properties LockedOut,DisplayName | Select-Object samaccountName, displayName,Lockedout

Desbloqueie o usuário AD com o comando:

Unlock-ADAccount j.brion

Leia também:Como desbloquear uma conta de usuário do Active Directory sem precisar fazer login

Você pode usar o PowerShell para visualizar o horário de bloqueio, a data do último logon e a data em que a senha do usuário foi alterada:

Get-ADUser j.brion -Properties Name,Lockedout, lastLogonTimestamp,lockoutTime,pwdLastSet | Select-Object Name, Lockedout,@{n='LastLogon';e={[DateTime]::FromFileTime($_.lastLogonTimestamp)}},@{n='lockoutTime';e={[DateTime]::FromFileTime($_.lockoutTime)}},@{n='pwdLastSet';e={[DateTime]::FromFileTime($_.pwdLastSet)}}

Você pode usar o cmdlet Search-ADAccount para localizar todos os usuários bloqueados no domínio:

Search-ADAccount -UsersOnly -lockedout

Com uma linha simples do PowerShell, você pode desbloquear todos os usuários do domínio de uma só vez:

Search-ADAccount -UsersOnly -lockedout| Unlock-ADAccount