Блокування облікового запису користувача в домені є однією з найпоширеніших причин, чому користувачі звертаються до служби технічної підтримки. У більшості випадків блокування викликано або користувачем, який забув свій пароль, або програмою, яка намагається використати попередній (збережений) пароль для автентифікації після того, як користувач змінив його.
Зміст:
- Політика блокування облікового запису в Active Directory
- Як розблокувати обліковий запис користувача за допомогою консолі Active Directory (ADUC)
- Розблокуйте облікові записи AD за допомогою PowerShell
Блокування облікового запису користувача ввімкнено в політиках безпеки за умовчанням домену Active Directory.
Зазвичай параметри блокування користувача налаштовуються вDefault Domain PolicyGPO (Конфігурація -> Windows Налаштування -> Безпека Налаштування -> Обліковий запис Політика -> Обліковий запис Блокування політика). Є три варіанти:
- Обліковий запис блокування поріг– кількість невдалих спроб введення пароля, після яких користувач буде заблокований;
- Тривалість блокування облікового запису– як довго користувач залишається заблокованим (у хвилинах). Потім користувач автоматично розблоковується;
- Скинути лічильник блокувань облікового запису після –кількість хвилин, після якої лічильник невдалого входу скидається.
Ці параметри блокування застосовуються до всіх користувачів домену, за винятком груп, яким було призначено спеціальні параметри за допомогою детальної політики паролів.
Дізнайтеся більше про політику паролів в AD.
Базові показники безпеки Microsoft рекомендують блокувати користувачів після цього10невдалі спроби входу. Це вважається оптимальним для захисту від перебору паролів і DoS-атак і зручно для користувачів, які часто помиляються під час введення паролів.
Політика паролів за умовчанням у Entra ID (наприклад, Azure AD) блокує обліковий запис користувача після 10 невдалих спроб входу.
Як розблокувати обліковий запис користувача за допомогою консолі Active Directory (ADUC)
Якщо обліковий запис користувача заблоковано, під час спроби входу до Windows ви побачите повідомлення нижче:
The referenced account is currently locked out and may not be logged on to.
Якщо користувач домену часто скаржиться, що його обліковий запис заблоковано, ви можете знайти комп’ютер і процес, які постійно спричиняють блокування, шукаючи ідентифікатори подій4740і4625у журналі безпеки основного контролера домену (див. Як знайти джерело блокування облікового запису в Active Directory).
Користувач не зможе увійти в Windows, доки не закінчиться період блокування або адміністратор вручну не розблокує обліковий запис.
Ви можете розблокувати користувача за допомогою графічної консолі Active Directory Users and Computers (ADUC):
- Відкрийте
dsa.mscконсоль і знайдіть користувача AD, якого потрібно розблокувати; - Натисніть наОбліковий записвкладка. Якщо користувача заблоковано, тут має бути повідомлення
Unlock account. This account is currently locked out on this Active Directory Domain Controller; - Позначте цей параметр і натисніть OK, щоб зберегти зміни;
- Обліковий запис користувача розблоковано, і його можна використовувати для входу в домен.
За замовчуванням лише адміністратори домену можуть розблокувати користувачів в AD. Ви можете делегувати дозволи на розблокування користувачам без прав адміністратора, щоб вони могли розблоковувати облікові записи.
- Клацніть організаційний підрозділ (OU), що містить користувачів, яким ви хочете делегувати дозволи, і виберітьДелегування контролю;
- Виберіть групу користувачів, яким ви хочете надати дозволи (наприклад, nyHelpDesk);
- Потім виберітьСтворіть спеціальне завдання->У папці лише такі об’єкти->Об'єкти користувача;
- У списку дозволів поставте галочкуНапишіть lockoutTimeящик;
- Тепер члени групи nyHelpDesk можуть розблоковувати користувачів.
Ви можете ввімкнути політику аудиту, яка дозволить вам дізнатися, хто розблокував обліковий запис користувача:
- УвімкнітьАудит керування обліковими записами користувачівполітика в
Default Domain ControllerGPO (Конфігурація комп’ютера -> Політики -> Параметри Windows -> Параметри безпеки -> Розширена конфігурація політики аудиту -> Політика аудиту -> Керування обліковими записами); - Потім ви можете відстежувати події розблокування користувача, шукаючи EventID4767вБезпекаувійдіть на контролер домену (
A user account was unlocked);
- Ви також можете використовувати PowerShell для пошуку подій за ідентифікатором події:
Get-WinEvent -FilterHashtable @{logname="Security";id=4767}|ft TimeCreated,Id,Message
Збільште розмір журналу засобу перегляду подій на контролерах домену, щоб зберігати більше подій.
Розблокуйте облікові записи AD за допомогою PowerShell
Ви можете використовуватиUnlock-ADAccountКомандлет PowerShell для розблокування користувачів AD. Цей командлет включено до модуля AD для Windows PowerShell.
Переконайтеся, що користувач заблокований (Lockedout = true):
Get-ADUser -Identity j.brion -Properties LockedOut,DisplayName | Select-Object samaccountName, displayName,Lockedout
Розблокуйте користувача AD командою:
Unlock-ADAccount j.brion
Читайте також:Як розблокувати обліковий запис користувача Active Directory, навіть не входячи в систему
Ви можете використовувати PowerShell, щоб переглянути час блокування, дату останнього входу та дату зміни пароля користувача:
Get-ADUser j.brion -Properties Name,Lockedout, lastLogonTimestamp,lockoutTime,pwdLastSet | Select-Object Name, Lockedout,@{n='LastLogon';e={[DateTime]::FromFileTime($_.lastLogonTimestamp)}},@{n='lockoutTime';e={[DateTime]::FromFileTime($_.lockoutTime)}},@{n='pwdLastSet';e={[DateTime]::FromFileTime($_.pwdLastSet)}}
Ви можете використовувати командлет Search-ADAccount, щоб знайти всіх заблокованих користувачів у домені:
Search-ADAccount -UsersOnly -lockedout
За допомогою простого однорядкового PowerShell ви можете розблокувати всіх користувачів домену одночасно:
Search-ADAccount -UsersOnly -lockedout| Unlock-ADAccount
