Wenn Sie in einer Microsoft Active Directory-Umgebung mit IT arbeiten, sind möglicherweise Probleme aufgetreten, bei denen das Konto eines Benutzers ständig gesperrt wird. In diesem Tutorial erfahren Sie alles, was Sie wissen müssen, um den Computer zu verfolgen, der ein AD-Konto sperrt.
Finden Sie den Domänencontroller, an dem die Sperrung aufgetreten ist
- Laden Sie die Kontosperrungs- und Verwaltungstools von Microsoft auf jedem Domänencomputer herunter, auf dem Sie über Administratorrechte verfügen.
- Erstellen Sie einen Ordner mit dem Namen "ALTools"Auf Ihrem Desktop, dann führen Sie"ALTools.exe”, Um die Dateien in diesen Ordner zu extrahieren.
- Von dem "ALTools"Ordner öffnen"LockoutStatus.exe“.
- Wählen "Datei” > “Ziel auswählen“.
- Präzisiere das "Zielbenutzername"Das wird immer ausgesperrt und die"Zieldomänenname“. Wenn Sie nicht als Domänenadministrator angemeldet sind und alternative Anmeldeinformationen verwenden möchten, aktivieren Sie das Kontrollkästchen "Verwenden Sie alternative Anmeldeinformationen"Feld, dann geben Sie ein Domänenkonto ein"Nutzername“, “Passwort", und "Domänenname“.
- Wählen "OK“Und der Benutzer wird zusammen mit dem Namen des Domänencontrollers aufgeführt, bei dem das Konto gesperrt wird.
Finden Sie den Sperrcomputer mithilfe von Ereignisprotokollen
- Melden Sie sich am Domänencontroller an, auf dem die Authentifizierung stattgefunden hat.
- Öffnen “Ereignisanzeige“.
- Erweitern "Windows-Protokolle" dann wähle "Sicherheit“.
- Wählen "Aktuelles Protokoll filtern… ”Auf der rechten Seite.
- Ersetzen Sie das Feld mit der Aufschrift "Mit mit4740“, Dann wählen Sie“OK“.
- Wählen "FindenGeben Sie im rechten Fensterbereich den Benutzernamen des gesperrten Kontos ein und wählen Sie dann "OK“.
- Die Ereignisanzeige sollte jetzt nur Ereignisse anzeigen, bei denen sich der Benutzer nicht anmelden und das Konto sperren konnte. Sie können auf das Ereignis doppelklicken, um Details anzuzeigen, einschließlichName des Anrufer-Computers“, Woher kommt die Aussperrung.
Finden, was das Konto auf dem Computer sperrt
Wenn der Computer seit dem Ändern oder Sperren des Kennworts für das Konto angemeldet ist, kann dies durch einen einfachen Neustart erledigt werden. Führen Sie andernfalls diese Schritte aus, um nach gespeicherten Anmeldeinformationen zu suchen, die möglicherweise mit einer laufenden Aufgabe und dem Sperren des Kontos verbunden sind.
- Melden Sie sich an dem Computer an, von dem aus die Sperren erfolgen.
- Laden Sie PsTools von Microsoft herunter.
- Extrahieren Sie die SinglePsExec.exe Datei zu “C: \ Windows \ System32“.
- Wählen "Start“, Dann tippe“CMD“.
- Rechtsklick "Eingabeaufforderung", dann wähle "Führen Sie als Administrator aus“.
- Geben Sie Folgendes ein und drücken Sie “Eingeben“:
psexec -i -s -d cmd.exe
- Ein weiteres Befehlsfenster wird geöffnet. Geben Sie in diesem Fenster Folgendes ein und drücken Sie "Eingeben“:
rundll32 keymgr.dll, KRShowKeyMgr
- Ein Fenster mit einer Liste der gespeicherten Benutzernamen und Passwörter wird angezeigt. Sie können wählen "Löschen"Elemente aus dieser Liste, die möglicherweise Konten sperren, oder wählen Sie"Bearbeiten… ”, Um das Passwort zu aktualisieren.
FAQ
Das Ereignisprotokoll sagt mir, dass ein Computername, der in unserer AD-Umgebung nicht vorhanden ist, das Konto sperrt. Wie kann ich es aufspüren und stoppen?
Wahrscheinlich hat jemand die Outlook-App auf einem persönlichen Telefon oder Tablet installiert. Das Gerät versucht, sich über ein anderes Gerät wie einen Microsoft Exchange-Server zu authentifizieren. Sie können dies mit den folgenden Schritten überprüfen:
- Führen Sie die Schritte 1 bis 6 wie oben beschrieben aus.Finden Sie den Domänencontroller, an dem die Sperrung aufgetreten ist" Sektion.
- Melden Sie sich beim Domänencontroller an und aktivieren Sie die Debugprotokollierung für den Netlogon-Dienst.
- Warten Sie, bis die Sperre erneut auftritt. Kehren Sie anschließend zum Sperrstatus-Tool zurück, klicken Sie mit der rechten Maustaste auf den DC, und wählen Sie dann "Öffnen Sie das Netlogon-Protokoll“.
- Wählen "Bearbeiten” > “Finden”Und suchen Sie nach dem gesperrten Benutzernamen des Kontos. Es sollte den Computernamen des Anrufers gefolgt von einem anderen Computernamen in Klammern anzeigen, von denen die Anforderungen stammen.