跟踪被锁的AD账号

最新推荐文章于 2020-11-16 16:14:54 发布
最新推荐文章于 2020-11-16 16:14:54 发布
阅读量352 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tianlongbamu/article/details/45093541
版权

豆子最近修改了Sophos的升级账号的密码,结果导致该账户频频被锁。我需要找出究竟是哪些客户端上配置了错误的密码,导致这个问题。方法很简单,也很传统。一句话,找到对应的DC,然后从DC日志上找到对应的登陆用户和计算机。


首先确认组策略里面打开了对应的审计功能。只有enable了Audit Kerberos authentication service, 我们才能查看4771事件。

wKioL1Ut4ifRx9qpAANe9Si5wes029.jpg


然后需要下载一个工具,这个工具可以帮助我们定位用户是登陆在哪台域控上


http://www.microsoft.com/en-gb/download/details.aspx?id=15201


wKioL1Ut4hjxntZFAAGGmo0WZdI583.jpg

输入要查询的用户名


wKiom1Ut4L7jUzJ9AAECxWgTO50275.jpg


他会列出对应的域控和错误密码的使用时间

wKioL1Ut4g6D-4iAAAFoxQNNGLc623.jpg


登陆对应的域控,查看Security的4771日志即可。


找到对应的时间点,打开

wKiom1Ut4LbwRCDHAANkCTfXnLM675.jpg



可以看见客户端的IP地址了

wKioL1Ut4fygMU34AALmliFvxp8214.jpg


然后根据客户端的操作系统,SSH或者RDP连接就行了。

tianlongbamu
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
AD-解/禁用/用户
12-22
AD-解/禁用/用户工具-解定的AD账户-禁用AD账户以及 修改密码 支持 解、禁用、修改域账号密码 如果需要其他功能请联系我 我在添加谢谢大家支持有问题反馈我处理
了我的帐号?(AD账号定状态查询)
weixin_33890526的博客
03-05 633
随着微软基础架构的深入普及和各个企业对信息化建设的重视,在微软产品日益成熟的今天,域环境的应用也越来越广泛。都会接触到很多应用产品。无论是微软系列的产品本身,或者是现在的很多第三方应用,我们都希望能基于员工的域账号做一个统一的身份验证,从而严格控制微软平台上各个应用的访问权限的安全。因此,域账号的验证机制就体现得格外重要。 无论是在甲方公司日常的运维中,...
诊断域帐号被定的原因
weixin_34354173的博客
06-22 954
某帐号每天都会被lockout,用户不厌其烦。 Troubleshooting的方法: 第一步,当帐号被时,用Lockoutstatus.exe工具来判断当时的登录服务器。 帐号被的那个相关DC会列出在Orig Lock这一列。 第二步,用eventcombMT.exe把有关Account Lockout的事件保存...
AD账户频繁被定-开启日志审核策略
荒野求生的博客
11-16 4413
https://blog.51cto.com/ximeng211/1981175(转) 问题描述:AD账户频繁被定,系统中无法查到相关定日志记录 处理过程:通过以下方法,验证是否开启了日志记录: 在AD服务器上以管理员身份运行cmd,输入命令,netdom query fsmo,查看PDC服务器角色 登陆到PDC服务器上,以管理员身份运行cmd,输入命令:auditpol/get /category:*确保审核策略已开启 如果策略已开启,在系统日志的...
【原创】解决AD账户被莫名其妙的定问题
Young的博客
12-28 6842
环境: Windows Server 2012 R2 问题: 最近总是有AD账号定,为了查清问题所在,需要查看AD用户登录认证记录 教程: 第一步:开启AD域的“用户登录时间”审核策略 1.打开管理工具中的“组策略管理”。 2.如下图,圈住的部分,右键点击“编辑”,打开组策略编辑。 3.如下图,打开“组策略编辑”的“审核策略”。 4.打开“审核登录事件”,勾选“成功”和“失败”选...
AD账号工具
01-21
AD账号工具,可以查看解账号及服务器,解原因等信息
AccountLockout_ad_解_
10-03
运行后自动解所有被定的AD用户。检索所有定的AD账号
域内检测账号情况的工具
07-22
检查AD账号定状态,“什么时候被”,“在哪台服务器被”,“输错密码已经几次了”
域环境账号原因和处理方和使用工具
01-18
域环境账号原因和处理方,通这个工具能够快速定位到登录的时间,那台PC,IP地址是多少
AD账号定诊断
09-23
详细分析AD账号 lockout的几种可能性 制定相关解决方案对账号进行解
AD域帐号被问题排查
热门推荐
IT经验分享
06-17 1万+
今天碰到10几个人反映有些软件不好用,登录域后,无法访问共享。当时我比较奇怪,到客户端一一检查意见,共享服务及软件运行服务全部正常。就尝试重启一下客户端,重启后就可以正常使用。但是有的也无法使用。我就检查AD服务器。发现这些帐号是定状态,我就将其“启用”开始使用。过差不多3个小时后又出现相同问题。我就将策略中“用户登录事件”打开来“审核[成功]及[失败]”事件。找到日志如下,请大家帮我分析一下。
AD账户定排错(已解决)
weixin_33913377的博客
06-23 2787
===问题描述===用户反应他的账户总是被定,起初定时间一个小时左右,如今已经缩短到了30秒以内===原因分析===造成账户定的原因通过powershell查看用户在两个星期前修改过密码,这也是造成定的×××旧的密码凭据还保留在其他服务器或者客户端上,正在尝试进行某种操作用户使用的计算机中了病毒或者有人恶意尝试密码这里只有他一个人被定了,可以排除病毒的可能,恶意尝试...
AD账号被频繁定的解决方案
weixin_33894640的博客
04-14 5335
很多企业为了方便管理都使用了域环境,账号、资源的统一管理得确大大提高了工作效率,而有时候也有一些小小的烦恼需要我们去解决。比方如账号定,有人会说,解啊,这有什么。没错,当企业内做了账号定策略后,限定次数的错误密码登陆会使账号定,管理员在后台可以帮助用户解。但是,如果是账号莫名其妙被定,而且频繁被定,这个时候,我们应该怎么办呢?微软提供给了我们一个非常好用的工...
AD账号频繁被定原因
weixin_34206899的博客
12-17 1694
在公司的实际运维过程当中,有时会碰到某些AD账号被频繁定的情况。在网上找了很多资料,往往描述地不够详细。为了发扬网络人人为我,我为人人的精神,现在把我所碰到的情况及解决方案写出来,希望给碰到相关问题的人提供帮助。AD某一个账户,每隔几分钟就会被定,即使解,即使禁用都没有效果。 情况一:这是因为该账户电脑虽然加域,但是只用本地账号登陆。这样上共享服务器或outloo...
域帐号被
weixin_34072458的博客
08-12 521
今天碰到10几个人反映有些软件不好用,登录域后,无法访问共享。当时我比较奇怪,到客户端一一检查意见,共享服务及软件运行服务全部正常。就尝试重启一下客户端,重启后就可以正常使用。但是有的也无法使用。 我就检查AD服务器。发现这些帐号是定状态,我就将其“启用”开始使用。过差不多3个小时后又出现相同问题。我就将策略中“用户登录事件”打开来“审核[成功]及[失败]”事件。找到日志...
ad账号委派一个普通账号具有解用户的功能
最新发布
07-14
要在 AD 域中将一个普通账号委派具有解用户的功能,您可以按照以下步骤进行操作: 1. 打开 "Active Directory 用户和计算机" 管理工具,确保您具有适当的管理员权限。 2. 找到您要委派权限的 OU(组织单位)或...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值