Решаваме проблема с внезапното блокиране на акаунт

Windows, Exchange и т.н.

Решаваме проблема с внезапното блокиране на акаунт

Понякога възникват ситуации, когато при опит за влизане в компютъра потребителят получава съобщениетоНе можете да влезете, защото акаунтът ви е заключен, моля, свържете се с вашия администратор.

Оказа се, че тази тема все още е актуална. И постоянно трябва да отговарям на въпроси не само за начинаещи, но и за опитни администратори.

Съобщението за блокиране на акаунт изглежда като показаното на фигурата (вижте фигура 1).

Фигура 1 -Съобщение за грешка, получено от потребител със заключен акаунт

Естеството на това явление е, че са направени няколко опита за въвеждане на неправилна парола. В домейна можете да настроите групова политика, която ще регулира броя на опитите за въвеждане на пароли и времето, за което акаунтът ще бъде блокиран. Ако не бъде въведена правилната парола, акаунтът ще бъде блокиран и потребителят ще получи известие, както е показано по-горе на фигура 1.

За да дефинирате политика, стартирайтеGroupPolicyManagementConsole.

По подразбиране правилата изглеждат така (вижте Фигура 2):

внезапното
Фигура 2 -ПравилаПравила за блокиране на акаунтпопо подразбиране

Да предположим, че искате да ограничите броя на въвеждането на неправилна парола до пет опита и след това да блокирате акаунта за 30 минути. За да направите това, трябва да редактиратеDefaultDomainPolicy(не забравяйте, че правилата за пароли в домейните на Win 2003 се прилагат на ниво DOMAIN) - Изберете Computer Configuration -> Настройки на Windows -> Настройки за сигурност -> Правила за акаунта -> сметкаполитика за блокиране. След това редактирайте настройките на груповата политика. Стойност на параметърAccountlockoutduration- определя времето, за което акаунтът ще бъде заключен.Праг за блокиране на акаунт– определя броя на опитите за влизане, след които акаунтът ще бъде заключен. И накрая, последният параметър -Нулиране на брояча за блокиране на акаунта след- определя времето, след което броячът на опитите ще бъде нулиран. Например, ако сте определили, че след пет опита акаунтът ще бъде блокиран и сте направили само два опита за влизане и след това, например, сте отишли ​​да пиете чай, тогава след това зададено време броячът ще бъде нулиран и отново ще имате пет опита.

Опитайте се да промените някой от параметрите и системата ще ви предложи оптималните от нейна гледна точка стойности на останалите параметри (вижте Фигура 3).

акаунт

Фигура 3 - Стойности, предлагани от системата

Можете да се съгласите и след това, ако е необходимо, да ги промените по свое усмотрение. Например, ако зададете стойността на параметъраAccount lockout thresholdна 5 и след това натиснетеOK, системата ще ви подкани за 30-минутна стойност за останалите параметри. Както е показано на фигура 3.

блокиране

Фигура 4 - "Акаунтътезаключенвън"в свойствата на потребителя

блокиране

Фигура 5 - Изглед на съобщението от регистъра на събитията

Този запис (вижте Фигура 5) показва информация за часа и от кой компютър е направен опит за въвеждане на неправилна парола. Разбира се, има начин да се отговори на събитие незабавно. Писах за това в статията „Как да реагираме на събитие“. Ако наблюдавате появата на такива записи и реагирате на тях своевременно, тогава ще бъде лесно да определите източника на проблема. Но какПо правило може да има ОГРОМЕН набор от такива записи. И никой не реагира веднага на тях, а разследва инцидентите по-късно. Потребителите често правят грешки при въвеждане на парола. И няма лесен начин да се определи точното време, когато акаунтът е бил блокиран. Като правило научаваме за това след известно време от самия потребител.

Помощната програмаMicrosoft Account Lockout Status, която е част от пакетаAccount Lockout and Management Tools, може да ни помогне да разрешим проблема.Можете да получите този пакет от уебсайта на Microsoft. Помощната програма беше пусната през 2003 г. Изненадващо, след много години, той все още е в търсенето.

Принципът на помощната програма е, че анализира регистрационните файлове на събитията на всички домейн контролери в мрежата и определя на кой контролер е настъпило блокирането, по кое време, а също така предоставя допълнителна информация, която може да ни помогне в разследването. Също така помощната програма може да помогне за премахване на заключването от акаунта и много повече.

За да започнете да работите с помощната програма, трябва да стартирате файла LockoutStatus.exe. Когато програмата стартира, изберете менютоFileи след товаSelectTarget. В диалоговия прозорец, който се появява,

внезапното

Обърнете внимание на квадратчето за отметка - "Използване на алтернативни идентификационни данни". Ако програмата се стартира с правата на стандартен потребител, тогава като поставите отметка в това поле, можете да стартирате сканирането от името на друг потребител, включен в групата на администраторите на домейна. Ако сте стартирали програмата като потребител с администраторски права на домейн, тогава не е необходимо да поставяте отметка в квадратчето.

След кратък процес на събиране на информация ще видите резултатите от работата, които ще отразяват на кой домейн контролер е заключен записът, към койвреме, колко опита за въвеждане на неправилна парола са направени и др. Всичко това е показано на фигурата (виж Фигура 7).

Фигура 7 - резултатът от програмата

От менюто на същата програма можете да отключите акаунта. За да направите това, изберете домейн контролер, щракнете с десния бутон и в контекстното меню щракнете върхуОтключванеАкаунт(вижте Фигура 8).

акаунт

Фигура 8 - Отключване на акаунт>

Тази промяна незабавно ще бъде репликирана към всички домейн контролери и потребителят може веднага да опита отново да влезе. Ако потребителят е забравил паролата, можете да я промените, като изберетеНулиранеПотребителскаПарола.

Понякога възникват ситуации, когато след успешно влизане проблемът се връща. Потребителят няма достъп до мрежовия ресурс, не може да влезе отново и т.н. Може да има няколко причини за това поведение. Ще изброя само някои от най-популярните. Но не забравяйте, че няма универсално решение и всеки случай трябва да се разследва индивидуално.

Например в мрежата може да действа нападател, който се опитва да отгатне паролата от потребителски акаунт. Вторият често срещан вариант е използването на един акаунт от няколко потребители едновременно. В този случай някой може постоянно да въвежда грешна парола, като по този начин се намесва в работата на други потребители. Когато започваме разследване, първото нещо, което трябва да установим, е точният час на инцидента. Като зададем времето, можем лесно да намерим запис в дневника за сигурност и да разберем от кой компютър в мрежата са направени опити за въвеждане на грешна парола. Както можете да видите на фигура 7, програмата ни съобщава тази информация. Като щракнете с десния бутон върху домейн контролера и изберете в контекстаОтворете менютоСъбитиеВизуализатор. Тъй като вече знаем точното време, когато е имало опит за влизане, който е довел до блокиране на акаунта, можем лесно да намерим събитието и да определим от кой компютър е извършено действието, което е причинило блокирането. Проблемът решен - виновните наказани!

Но освен човешкия фактор има и други причини. Може би най-често срещаната причина е, че когато настроите планирана задача, която се изпълнява като потребител, и след това промените паролата на този потребител. Работата ви все още се опитва да влезете със старата парола. Естествено не успява и акаунтът е блокиран.

Надявам се, че след като прочетете тази статия, имате ясно разбиране какво може да е причината за проблема и как да го разрешите.