跟踪被锁的AD账号

最新推荐文章于 2024-09-26 15:54:19 发布
置顶 最新推荐文章于 2024-09-26 15:54:19 发布
阅读量1.6k 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiaomeila/article/details/45092703
版权

豆子最近修改了Sophos的升级账号的密码,结果导致该账户频频被锁。我需要找出究竟是哪些客户端上配置了错误的密码,导致这个问题。方法很简单,也很传统。一句话,找到对应的DC,然后从DC日志上找到对应的登陆用户和计算机。


首先确认组策略里面打开了对应的审计功能。只有enable了Audit Kerberos authentication service, 我们才能查看4771事件。

wKioL1Ut4ifRx9qpAANe9Si5wes029.jpg


然后需要下载一个工具,这个工具可以帮助我们定位用户是登陆在哪台域控上


http://www.microsoft.com/en-gb/download/details.aspx?id=15201


wKioL1Ut4hjxntZFAAGGmo0WZdI583.jpg

输入要查询的用户名


wKiom1Ut4L7jUzJ9AAECxWgTO50275.jpg


他会列出对应的域控和错误密码的使用时间

wKioL1Ut4g6D-4iAAAFoxQNNGLc623.jpg


登陆对应的域控,查看Security的4771日志即可。


找到对应的时间点,打开

wKiom1Ut4LbwRCDHAANkCTfXnLM675.jpg



可以看见客户端的IP地址了

wKioL1Ut4fygMU34AALmliFvxp8214.jpg


然后根据客户端的操作系统,SSH或者RDP连接就行了。

xiaomeila
关注
了我的帐号?(AD账号锁定状态查询)
weixin_33890526的博客
03-05 770
随着微软基础架构的深入普及和各个企业对信息化建设的重视,在微软产品日益成熟的今天,域环境的应用也越来越广泛。都会接触到很多应用产品。无论是微软系列的产品本身,或者是现在的很多第三方应用,我们都希望能基于员工的域账号做一个统一的身份验证,从而严格控制微软平台上各个应用的访问权限的安全。因此,域账号的验证机制就体现得格外重要。 无论是在甲方公司日常的运维中,...
系统安全及应用--账号安全控制
weixin_53560205的博客
08-18 1898
文章目录前言一、基本安全措施1、系统账号清理2、密码安全控制3、命令历史限制4、终端自动注销二、用户切换与提权1、su 命令——切换用户2、在/etc/pam.d/su文件里设置禁止用户使用su命令三、PAM安全认证1、PAM及作用2、PAM认证原理3、PAM认证的构成4、PAM 控制类型总结 前言 用户账号,是计算机使用者的身份凭证或标识,每一个要访问系统资源的人,必须凭借其用户账号才能进入计算机,在 Linux 系统中,提供了多种机制来确保用户账号的正当、安全使用,为了确保我们的账户安全我们要学会账号
域管理员账号锁定解决办法
最新发布
Zoho_Manager的博客
09-26 261
在管理企业网络环境时,域管理员账号锁定是一个常见的问题,可能会导致网络运行的延误和管理员无法正常进行工作。
账号锁定故障排除基本流程
李荣权的专栏--OS--Soft--Life
12-26 7301
账号锁定故障排除基本流程现象:某域账号只要该人的主机接入网络就会导致其域账户锁定,频率在四五分钟左右.表现为输入域账号登录即使输入正确的密码也提示错误,账户锁定后发现密码输入错误次数为0  一,下载ALTOOLS     二,运行lockoutstatus,查看哪台域控住了该账号     三,运行用eventcombmt收集账号锁定日志     方法:          1,菜单中选择Searches-->Built In Searches -->Account Lockouts      
诊断域帐号被锁定的原因
weixin_34354173的博客
06-22 1056
某帐号每天都会被lockout,用户不厌其烦。 Troubleshooting的方法: 第一步,当帐号被时,用Lockoutstatus.exe工具来判断当时的登录服务器。 帐号被的那个相关DC会列出在Orig Lock这一列。 第二步,用eventcombMT.exe把有关Account Lockout的事件保存...
AD账号锁定诊断
09-23
详细分析AD账号 lockout的几种可能性 制定相关解决方案对账号进行解
Linux账号与权限管理
大狮叽爸爸的博客
08-09 405
目录前言一、管理用户账号1.用户账号和组账号概述1.1.用户账号1.2.组帐号1.3.UID和GID2.用户账号文件2.1 用户账号文件 /etc/passwd2.2用户账号文件 /etc/shadow3.用户账号管理3.1.useradd——添加用户账号3.2.passwd——设置/更改用户口令3.3.usermod——修改用户账号属性3.4.userdel——删除用户账号3.5.用户账号的初始配置文件总结 前言 一、管理用户账号 1.用户账号和组账号概述 1.1.用户账号 超级用户: root用户是
Java并发系列(14)——synchronized之HotSpot源码解读(上)
JinchaoLv的博客
12-11 474
上一篇:《Java并发系列(13)——线程池的选择与参数设置》 文章目录10 synchronized 实现原理10.1 研究思路10.1.1 输出 JVM 指令10.1.2 跟踪 JVM 源码10.2 预备知识10.2.1 对象头10.2.1.1 什么是对象头10.2.1.2 打印对象头10.2.1.3 小端存储10.2.2 用户态与内核态10.2.2.1 用户态与内核态10.2.2.2 用户线程与内核线程10.3 Hashtable 性能测试10.3.1 测试一10.3.2
数据库加固方案
GGGoodLuck的博客
02-02 4790
mysql和oracle数据库加固
UserLock用于学校防止用户共享Windows网络登录
u010270772的专栏
10-23 902
俄克拉荷马城市公立学校的IT团队负责该片区接近43000个学生的网络管理工作。长期以来,学生和教师员工共享Windows网络登录为他们带来了很多难题。 由于没有并发登录的限制,也不能对网络使用情况进行准确跟踪,俄克拉荷马城市公立学校的IT团队发现很多学生都使用共同的账号登录,而不是每个人都使用他们的个人账号。这些学生以这种方式来删除或窃取文件(例如家庭作业),或者随意删除起初的文件使共享网络
ad域 禁用账号_大量AD域帐号自动被锁定
weixin_36094492的博客
12-29 2221
设置域帐号登陆次数后自动锁定完则,有大量AD域帐号自动被锁定。在2003域安全策略中,设置登陆3次密码错误后,自动锁定帐号;在登封3次后,帐号可以自动锁定。但是有大批帐号没有登陆错误情况下自动锁定,而且手动解后,又自动锁定。最后只能取消策略。请问地什么原因造成这问题十分紧逼,请给予帮助。回答:根据您的描述,我对这个问题的理解是在您的Domain Users中出现了锁定的情况.从您反应的情况看,有...
zabbix3.4配置windowsAD登录
weixin_34321753的博客
05-24 195
转载自:【https://zabbix.com/documentation/3.4/zh/manual/web_interface/frontend_sections/administration/authentication】 参数r描述 LDAP host LDAP服务器名称。例如: ldap://ldap.zabbix.com安全LDAP服务器使用 ldaps...
使用windows日志监控AD安全性的五大挑战
12306小哥
09-25 2011
声明:本文档由12306Bro个人业余时间翻译,个人行为与公司无任何关系!译文来源INSIDER THREAT SECURITY BLOG博客站相关文档。如您对翻译文档内容有异议,请将原文文档做为主要参考,原文版权由博客站及其相关成员持有并保留。翻译文章禁止用于任何商业用途,仅供交流与学习。 前言 随着恶意活动的增加,攻击者用来破坏凭据和数据的方法也各种各样,监控Active Directory(...
查找Active Directory域账号频繁锁定的原因
热门推荐
李志坤的博客
06-03 2万+
Active Directory账号锁定是因为该账号的密码频繁输入错误,超出了域组策略的安全策略设置的阈值,所以就被锁定了,手动解除锁定后,不一会儿又会被锁定,所以一定要查出是哪台计算机,哪个应用程序导致的账号锁定,才能从根源上解决问题,经我查阅资料及测试,该操作分为两个步骤: 一、查找导致账号锁定的源计算机 二、登录源计算机查找导致账号锁定的应用程序 详细操作如下: 一、查找导致账...
AD用户频繁锁定处理实例-分享
flybird77的专栏
07-07 5892
最近,公司内部分用户反映自己域账号锁定,刚开始,未留意,因为账号锁定的问题比较常见,本以为是认为的密码设置错误所致,解后不再关注。今天早上到单位,发现网内大部分用户域账号锁定了,有的用户账号居然刚刚解后又锁定。针对此想象,仔细分析,一般偶尔有用户反映帐号被属于正常,但是
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值