码迷,mamicode.com
首页 > 其他好文 > 详细

谁锁了我的帐号?(AD账号的锁定状态查询)

时间:2015-03-05 17:24:28      阅读:323      评论:0      收藏:0      [点我收藏+]

标签:账号锁定   账号解锁   密码错误   

       随着微软基础架构的深入普及和各个企业对信息化建设的重视,在微软产品日益成熟的今天,域环境的应用也越来越广泛。都会接触到很多应用产品。无论是微软系列的产品本身,或者是现在的很多第三方应用,我们都希望能基于员工的域账号做一个统一的身份验证,从而严格控制微软平台上各个应用的访问权限的安全。因此,域账号的验证机制就体现得格外重要。

     无论是在甲方公司日常的运维中,还是在乙方公司大大小小的项目中,会有企业的员工反映,自己唯一的域账号时常被锁,或者时常弹出对话框,请求用户输入密码确认。这样就会导致用户无法打开工作应用,工作软件,甚至工作电脑。这样势必对员工的工作产生了极大的影响。员工很想知道为什么自己在没有输错密码的同时,会有这些验证失败的提示。

本文主要讲述是如何通过微软工具和相关操作,查找定位到验证失败的原因。

借助工具:

LockoutStatus

技术分享

下载地址一:https://login.live.com/login.srf?wa=wsignin1.0&rpsnv=12&ct=1425535041&rver=6.5.6509.0&wp=MBI&wreply=https:%2F%2Fwww.microsoft.com%2Fen-us%2Fdownload%2Fdetails.aspx%3Fid%3D15201&lc=1033&id=74335

下载地址二:http://down.51cto.com/data/361708

接下来,我们就实际演示一遍如何查询到AD账号被锁的原因

1. 首先将LockoutStatus放到域环境中的任一一台DC上。

技术分享

2. 使用管理员权限将LockoutStatus打开

技术分享

3. 点击文件选项File,选择目标Select Target

技术分享

4. 在目标用户名列写出需要查询的域账号(被锁账号),点击OK

技术分享

5. 现在开始扫描该账号在所有DC上的被锁记录

技术分享

6. 扫描完成后,你可以找到很多账号锁定信息,包括DC名,站点,账号状态,错误密码计数器,和最后一次错误密码时间。

技术分享

7. 找寻到最后一条错误时间记录,找到相应的DC名,远程登录这台域控。

技术分享

8. 找到这个时间点的日志

技术分享

技术分享

9. 用具有权限的管理员账号打开日志文件

技术分享

10. 选择筛选当前日志来减小日志范围。

技术分享

11. 在关键词栏中,勾选“审核失败”来作为筛选题目。

技术分享

12. 筛选完成后,找到该时间点事件日志。我们可以很清晰的看到“源工作站”一栏,意思是该错误密码申请,来自这台客户端 CN1D8DKC

技术分享

到这里,我们就已经知道了导致账号被锁的错误密码的发送源是来自这台客户机,但是这样并没有完。如果企业内部资产记录和信息安全做的比较好比较严格的企业,可能通过机器名已经能够查到这台客户端属于哪一个员工在使用,就可以拿着以上的证据去找他“摆聊斋”了。但是在很多企业,客户机名是一个无法定位到员工头上的随机数字或者是编号,更或者是恶作剧或者是“栽赃嫁祸”这个时候怎么办呢?不要着急,我们采用Windows Power Shell来“找出凶手”,接下来我们继续看。

 

13. 用管理员权限打开Power Shell,然后输入一下命令来查询是哪个账户在登录当前这台终端机。

get-wmiobject -computername CN1D8DKC win32_computersystem | format-list username

技术分享

系统最终查询出的账号是 cn001\cn1wh0u0

也就是说,目前这台名为CN1D8DKC的客户机是域用户cn1wh0u0正在使用。

14. 用dsa.msc命令打开AD与用户管理控制台。

技术分享

15. 找到该用户的详细信息。

技术分享

技术分享

到此,我们终于找到了“罪魁祸首”!当然了,密码被锁的具体原因还要通过我们查出来的这台源客户端电脑的本机日志才能更准确的查出来,原因也有很多,从我们日常的经验来看,大部分原因是因为A用户曾经使用过B用户的电脑,然后在访问某内部网页或者应用时记住了密码。结果过段时间A用户修改了自己的域账号密码,结果B用户这台电脑还是一直在发送老的密码,悲剧就发生了。对待这样的事情,大家还是心平气和的对待这个问题,也可能是各种各样的原因造成的,相信真正使坏的人也确实是极少数。

--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

下面在给大家share几个查询用户信息的命令

1. net user /domain username

技术分享

2. 查询用户帐号的位置

dsquery user –samid username

技术分享

3. 将第2步查出的全路径通过命令,查出账号更详细信息

repadmin /showobjmeta 域控名 "CN=马骏一,OU=Chengdu,DC=corp,DC=jbhydro,DC=com"

技术分享

技术分享

本文出自 “马骏一的奔跑空间” 博客,请务必保留此出处http://horse87.blog.51cto.com/2633686/1617607

谁锁了我的帐号?(AD账号的锁定状态查询)

标签:账号锁定   账号解锁   密码错误   

原文地址:http://horse87.blog.51cto.com/2633686/1617607

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!